Compendio de Buenas Practicas Del Sgci Pdo-n-001

7/25/2019 Compendio de Buenas Practicas Del Sgci Pdo-n-001

http://slidepdf.com/reader/full/compendio-de-buenas-practicas-del-sgci-pdo-n-001 1/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROLINTEGRAL POR PROCESOS– MARCO DE REQUISITOS

PLANEACIÓN Y GESTIÓN INTEGRALVICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO

CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

1/93

TABLA DE CONTENIDO

I. INTRODUCCIÓN ............................................................................................................. 3

II. OBJETO Y CAMPO DE APLICACIÓN .................................................................................. 6

III. REFERENCIAS NORMATIVAS........................................................................................... 7

IV. ELEMENTOS DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL .................................... 8

1. ESTRATEGIA Y DIRECCIONAMIENTO ............................................................................. 8

1.1 ESTRATEGIA Y ALINEACIÓN EMPRESARIAL ..................................................................... 8

1.2 REQUISITOS LEGALES ASOCIADOS A LOS ESTÁNDARES NORMATIVOS ............................ 13 1.3 INTELIGENCIA COMPETITIVA ..................................................................................... 14

1.4 GRUPOS DE INTERÉS ................................................................................................ 15

1.5 DEFINICIÓN DE RECURSOS ........................................................................................ 17

2. GENTE .......................................................................................................................... 19

2.1 ESTRUCTURA ORGANIZACIONAL................................................................................. 19

2.2 CULTURA Y TOMA DE CONCIENCIA .............................................................................. 24

2.3 DESARROLLO DE LA GENTE........................................................................................ 25

2.4 AMBIENTE Y RELACIONAMIENTO LABORAL ................................................................... 28

2.5 CALIDAD DE VIDA .................................................................................................... 29

3. INFORMACIÓN Y CONOCIMIENTO ................................................................................ 30

3.1 CALIDAD DE LA INFORMACIÓN ................................................................................... 30

3.2 SEGURIDAD DE LA INFORMACIÓN .............................................................................. 31

3.3 DOCUMENTACIÓN ..................................................................................................... 32

3.4 CONOCIMIENTO ....................................................................................................... 36

4. OPERACIONES .............................................................................................................. 37 4.1 REQUISITOS DEL CLIENTE ......................................................................................... 37

4.2 PROYECTOS ............................................................................................................. 39

4.3 ACTIVIDADES, PRODUCTOS Y SERVICIOS .................................................................... 40

4.4 CONTINUIDAD DE LOS PROCESOS .............................................................................. 50

5. RECURSOS ................................................................................................................... 55







CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

3/93

I. INTRODUCCIÓN

La Alta Dirección, convencida de los beneficios de gestionar integralmente los procesos y consciente dela necesidad de consolidar en un solo Sistema de Gestión y Control las diferentes normas y estándaresde gestión aplicadas en Ecopetrol S.A. y sus subordinadas, destinó los recursos y su permanentecompromiso para el diseño del Sistema de Gestión y Control Integral (SGCI) basado en procesos.

Este documento se estructura por elementos y subelementos de gestión y control que integranrequisitos relacionados con una temática transversal a los referentes integrados. Esto permite sucompatibilidad e integración con otras normas y estándares de gestión y control diferentes a lasconsideradas inicialmente en su diseño.

La Figura 1 proporciona una visión general de la estructura del Marco de Requisitos del SGCI y sufinalidad es ayudar a Ecopetrol S.A. y sus subordinadas a comprender cómo se utiliza este marco. El

documento se estructura por capítulos: capítulo I, Introducción; capítulo II, Objeto y campo deaplicación; capítulo III, Referencias normativas; capítulo IV, presenta por elementos y subelementos,los requisitos de gestión y control que se deben cumplir en la organización. El documento Marco derequisitos del SGCI se complementa con el documento anexo que contiene: Glosario, Tablas decorrespondencia entre los Elementos y Subelementos y los diferentes referentes integrados, Tablas demejores prácticas de objetivos de control y control para la seguridad de la información, Cuadroconsolidado de objetivos de Elementos y Subelementos.

Los elementos se identifican en la Figura 1 dentro del ciclo PHVA (Planear-Hacer-Verificar-Actuar) parauna mejor comprensión de la intención pretendida de los Elementos de gestión y control integral. Estemarco se estructura en lenguaje ISO. Por lo tanto, la palabra debe indica un requisito. Lasrecomendaciones o aclaraciones están incorporadas como notas.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

4/93

Figura 1. Visión esquemática del Marco de requisitos del SGCI.

La orientación de este marco de requisitos promueve la adopción de un enfoque integral basado enprocesos. Consiste en determinar, gestionar y controlar de manera eficaz una serie de actividadesrelacionadas entre sí. Una ventaja que proporciona este enfoque es el control continuo sobre losvínculos entre los procesos individuales que forman parte de un sistema conformado por procesos, asícomo sobre su combinación e interacción.

Este marco adopta y adapta los principios de gestión de la calidad para la rama ejecutiva del poderpúblico y otras entidades prestadoras de servicios, contemplados en la Norma Técnica Colombiana dela Gestión Pública (NTCGP1000) que se enmarcan, integran, complementan y desarrollan dentro de los

principios constitucionales. Pueden ser utilizados por la Alta Dirección de Ecopetrol S.A. y sussubordinadas, con el fin de conducir a la organización hacia una mejora en su desempeño:

1. Enfoque hacia los grupos de interés: La razón de ser de las organizaciones es prestar unservicio dirigido a satisfacer a sus grupos de interés. Por lo tanto, es fundamental que lasorganizaciones comprendan cuáles son las necesidades actuales y futuras de los grupos deinterés, que cumpla con sus requisitos y que se esfuercen por exceder sus expectativas.

2. Liderazgo: Desarrollar una conciencia hacia la calidad implica que la Alta Dirección de cadaorganización es capaz de lograr la unidad de propósito, generar y mantener un ambienteinterno favorable, en el que los colaboradores puedan llegar a involucrarse totalmente en ellogro de los objetivos de la organización.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

5/93

3. Participación activa de los colaboradores: Es el compromiso de los colaboradores, en todos

los niveles. Permite el logro de los objetivos de la organización.4. Enfoque basado en procesos: En las organizaciones, existe una red de procesos. Es claroque, al trabajar articuladamente, permite generar valor. Un resultado deseado se alcanza máseficientemente cuando las actividades y los recursos relacionados se gestionan como unproceso.

5. Enfoque del sistema para la gestión: El hecho de identificar, entender, mantener, mejorary, en general, gestionar los procesos y sus interrelaciones como un sistema contribuye a laeficacia, eficiencia y efectividad de las organizaciones en el logro de sus objetivos.

6. Mejora continua: Siempre es posible implementar maneras más prácticas y mejores paraentregar los productos o prestar servicios en las organizaciones. Es fundamental que la mejoracontinua del desempeño global de las organizaciones sea un objetivo permanente paraaumentar su eficacia, eficiencia y efectividad.

7. Enfoque basado en hechos y datos para la toma de decisiones: En todos los niveles de la

organización, las decisiones eficaces se basan en el análisis de los datos y la información y nosimplemente en la intuición.8. Relaciones mutuamente beneficiosas con los proveedores de bienes o servicios: Las

organizaciones y sus proveedores son interdependientes. Una relación beneficiosa, basada en elequilibrio contractual, aumenta la capacidad de ambos para crear valor.

9. Coordinación, cooperación y articulación: El trabajo en equipo en y entre organizaciones esimportante para el desarrollo de relaciones que beneficien a sus clientes porque permitenemplear de una manera racional los recursos disponibles.

10. Transparencia: La gestión de los procesos se fundamenta en las actuaciones y las decisionesclaras. Por lo tanto, es importante que las organizaciones garanticen el acceso a la informaciónpertinente de sus procesos para facilitar así el control social.

Los requisitos presentados son genéricos con énfasis en la gestión y control. Es decir, define qué debehacer la organización para establecer, implementar, operar, mantener y mejorar un Sistema de Gestióny control integral, pero no específica cómo la organización dará cumplimiento a estos requisitos. Laespecificidad técnica de cada temática deberá ser complementada con los estándares específicosrespectivos. Este marco de requisitos no pretende remplazar, modificar o cambiar de ninguna forma losrequisitos legales o reglamentarios aplicables.

Es importante entender que los requisitos establecidos en este marco, por sí solos, no aseguran lagestión integral de los procesos, ni el mantenimiento de las certificaciones obtenidas sobre losdiferentes sistemas de gestión en Ecopetrol. Es necesario que los requisitos aquí establecidos seincorporen e implementen en los diferentes procesos y niveles pertinentes del PHVA empresarial paraasegurar el cumplimiento de los referentes normativos nacionales, internacionales y los definidos por laorganización.

Este marco fue diseñado a solicitud y para uso exclusivo de Ecopetrol S.A. y sus subordinadas en

atención a su compromiso con la excelencia y no pretende ser distribuida ni comercializada con otrosfines.

Para su elaboración, se contó con el aporte permanente de los colaboradores de Ecopetrol S.A.,consultoría de empresas expertas en diseño, implementación, mantenimiento y mejora de Sistemas deGestión Integral por procesos y consultores especialistas nacionales e internacionales en las diferentestemáticas integradas.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

6/93

II. OBJETO Y CAMPO DE APLICACIÓN

Este documento especifica los requisitos para el Sistema de Gestión y Control Integral (SGCI) deEcopetrol S.A. y sus subordinadas y establece un marco para la gestión integral de sus procesos,soportado en un conjunto de principios fundamentales, que orientan el cumplimiento de los objetivos,metas y compromisos con los diferentes grupos de interés.

Los requisitos para el Sistema de Gestión y Control Integral se expresan a través de elementos ysubelementos, que indican con sus debes lo que es obligatorio cumplir. Sin embargo, no establecen lamanera de hacerlo. Cada proceso, en sus diferentes niveles, dará cumplimiento a los requisitos(“debes”) según su objetivo y alcance dentro de la organización, en conjunto con las disposicioneslegales que le sean aplicables.

Este marco de requisitos aplica a Ecopetrol S.A. y sus subordinadas, sin importar el tipo, tamaño y

naturaleza de las mismas. Sin embargo, cuando alguno de los requisitos establecidos en este marco noapliquen por la naturaleza de la organización, de sus procesos o por decisión de la Alta Dirección, la justificación de la no aplicabilidad del o los requisito(s) se debe documentar y comunicar.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

7/93

III. REFERENCIAS NORMATIVAS

Para el diseño de este documento, se tuvieron en cuenta las referencias normativas, estándares ybuenas prácticas citados a continuación:

NTC GP 1000:2009 Norma técnica de Calidad de la Gestión pública; NTC ISO 9001:2008 Sistema degestión de la calidad; NTC ISO 9000:2005 Sistemas de Gestión de la Calidad. Fundamentos yVocabulario; NTC ISO 14001:2004 Sistemas de gestión ambiental; NTC ISO/IEC 17025:2005Requisitos generales para la competencia de los laboratorios de ensayo y de calibración; NTC OHSAS18001:2007 Sistemas de gestión de Seguridad y Salud Ocupacional; BS 25999-2:2007 Sistemas degestión de la continuidad del negocio; ASIS SPC.1-2009 Organizational Resilience: Security,Preparedness and Continuity Management Systems-Requirements with Guidance for Use ; NTC ISO/IEC27001:2006 Sistemas de gestión de la Seguridad de la información; NTC ISO 28000:2008 Sistemas degestión de la Seguridad de la cadena de suministro; OSHA 1910.119 Process Safety Management of

Highly Hazardous Chemicals; COBIT 4.1 Objetivos de control para el gobierno TI y COSO-ERM Controlinterno y Gestión del riesgo corporativo. Este marco de requisitos se encuentra alineado con losrequerimientos de la Ley Sarbanes Oxley (SOX) y con la Guía de Administración de Seguridad deProcesos vigente.

Este marco de requisitos del SGCI se actualizará a intervalos planificados dependiendo de lasactualizaciones de los estándares integrados ó la incorporación de otros estándares, previo análisis yestudio de la pertinencia de sus modificaciones por parte de la Vicepresidencia de Estrategia yCrecimiento de Ecopetrol S.A.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

8/93

IV. ELEMENTOS DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL

1. ESTRATEGIA Y DIRECCIONAMIENTOEl elemento Estrategia y Direccionamiento tiene como finalidad agrupar y correlacionar las referenciasnormativas nacionales, internacionales y las propias de Ecopetrol, para asegurar el direccionamientoempresarial y la alineación de la organización y sus líderes, hacia el logro de sus objetivos estratégicos.Todo esto con el fin de garantizar la generación de valor y contribuir con el desarrollo sostenible de laempresa y el país. Para esto, se debe considerar también el entorno y las ventajas competitivas.

1.1 ESTRATEGIA Y ALINEACIÓN EMPRESARIALEl subelemento Estrategia y Alineación Empresarial tiene como finalidad agrupar los lineamientos yrequisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.,requeridos para la adecuada gestión de los procesos, relacionados con el establecimiento de laestrategia (Misión, Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores y

competencias organizacionales, política integral de gestión y plan de negocios), la alineaciónorganizacional a través del despliegue de objetivos relacionados a los procesos, la definición delSistema de Gestión y Control Integral, programas, proyectos y planes sobre los que se toman lasdecisiones para el cumplimiento de las metas establecidas.

1.1.1 FORMULACIÓN DE LA ESTRATEGIA

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y documentar la estrategia, queincluya la Misión, Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores ycompetencias organizacionales, política integral de gestión y plan de negocios. La organización debeasegurar que la estrategia sea comunicada y entendida en los diferentes niveles de la organización ysea revisada y actualizada cuando sea necesario. (Véase 7.2)

La organización debe:

a) Establecer los objetivos estratégicos según la Misión y Visión de la organización. Reflejar laforma como se crea valor para los grupos de interés.

b) Desplegar los objetivos estratégicos en los procesos.c) Definir objetivos relacionados a la estrategia.d) Medir los objetivos,e) Identificar los riesgos relacionados con la consecución de la estrategia.(Véase 6.1.2)

NOTA: Los objetivos relacionados son los que apoyan la consecución de la estrategia de la organización. Algunascategorías para establecer objetivos relacionados a la estrategia son:

Objetivos operacionales: Corresponden a la efectividad y eficiencia de las operaciones de la organización, incluidos los

objetivos de rendimiento y rentabilidad y de salvaguarda de recursos frente a pérdidas. Varían según las opciones de ladirección respecto a estructura y rendimiento.

Objetivos de reporte: Son los relativos a la confiabilidad de reportes. Incluyen reportes internos y externos y debeninvolucrar la información financiera y no financiera.

Objetivos de cumplimiento: Se refieren al cumplimiento de requisitos legales, de los grupos de interés y otros que laorganización suscriba.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

9/93

1.1.2 MARCO ESTRATÉGICO Y PLANES TÁCTICOS

Ecopetrol S.A. y sus subordinadas deben crear un Marco estratégico que defina, en cooperación con lasunidades organizativas, cómo contribuyen a los objetivos estratégicos, así como los costos y riesgosrelacionados. El Marco estratégico debe incluir, entre otros aspectos:

a) Cómo se cumplen y miden los objetivos.b) El presupuesto de la inversión, las fuentes de financiamiento, la estrategia de obtención, la

estrategia de adquisición y los requerimientos legales y regulatorios.c) El suficiente detalle para permitir la definición de planes tácticos.d) Incorporar decisiones con respecto a la tecnología para lograr los objetivos. Se deben

considerar factores, objetivos estratégicos, necesidades del mercado y exigencias competitivas.

Ecopetrol S.A. y sus subordinadas deben crear unos planes tácticos y plurianuales que se deriven delMarco Estratégico. Estos planes tácticos y plurianuales deben describir las iniciativas y las necesidadesde recursos requeridos por las unidades organizativas establecer cómo el uso de los recursos y el logrode los beneficios son monitoreados y administrados. Los planes tácticos y plurianuales deben tener eldetalle suficiente para permitir la definición de proyectos.

1.1.3 ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL (SGCI)

Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar, operar, monitorear ymantener un Sistema de Gestión y Control Integral (SGCI) y mejorar continuamente su eficacia,eficiencia y efectividad, según los requisitos de esta norma. Este sistema incluye de manera integraltodos los procesos de la organización que le permiten desarrollar su estrategia y gestionar los riesgos ycontroles. Para esto la organización debe:

a) Determinar los procesos necesarios para el SGCI y su aplicación a través de la organización.b) Determinar la secuencia e interacción de estos procesos.c) Formular los objetivos de los procesos.d) Determinar y documentar, los criterios y métodos necesarios para asegurarse de que tanto la

operación como el control de estos procesos sean eficaces y eficientes.e) Asegurarse de la disponibilidad de recursos e información necesarios para apoyar la operación y

el seguimiento de estos procesos.f) Documentar, desarrollar, implementar, mantener y mejorar continuamente la gestión de

continuidad del negocio e identificar los productos y servicios clave.g) Determinar el alcance del SGCI, teniendo en cuenta que para los laboratorios, el SGCI debe

cubrir el trabajo realizado en las instalaciones permanentes de los laboratorios, en sitios fuera

sus instalaciones permanentes o en instalaciones temporales o móviles asociadas;h) Asegurar que la planificación del SGCI se realiza para cumplir los requisitos y los objetivos parala gestión y que se mantiene su integridad cuando se planifican e implementan cambios. (Véase1.1.5).

i) Obtener autorización de la dirección para implementar y operar el SGCI.

NOTA: Los procesos necesarios para el SGCI a los que se ha hecho referencia anteriormente incluyen los procesos para lasactividades de la dirección, la definición de recursos, la realización del producto, la medición, el análisis y la mejora, seanejecutados de manera directa o contratados externamente. (Véase 4.3.10)





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

10/93

El SGCI establecido debe ser coherente con la filosofía de gestión de riesgos y controles. Por lo tanto,

Ecopetrol S.A. y sus subordinadas deben:

j) Desarrollar y comunicar la filosofía de gestión de riesgos y controles en todos los niveles de laorganización.

k) Demostrar su integridad y compromiso con los valores éticos, a través del ejemplo de la AltaDirección y la formulación de lineamientos , Código de Ética, Código de Buen Gobierno, quedeben ir más allá del cumplimiento de la ley y el establecimiento de factores organizacionales,que minimicen la probabilidad de que existan prácticas fraudulentas o no éticas, por un énfasisindebido sobre los resultados, particularmente a corto plazo.

l) Fijar las tolerancias al riesgo, relacionadas con los niveles aceptables de desviación relativa a laconsecución de los objetivos.

m) Definir el apetito de riesgo y alinearlo con la estrategia y

n) Alinear la organización, el personal, los procesos y la infraestructura para facilitar laimplantación de la estrategia con éxito. De igual forma, capacitar a la organización para que semantenga dentro de los límites de su riesgo aceptado.

NOTA: Ecopetrol S.A. y sus subordinadas pueden expresar su apetito de riesgo como un equilibrio adecuado entrecrecimiento, riesgo y rendimiento o como una medida para agregar valor para el accionista, ajustadas a su propio nivel deriesgo. El apetito de riesgo es el riesgo aceptado formalmente por una organización.

1.1.4 POLÍTICA INTEGRAL DE GESTIÓN

Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar y mantener una políticaintegral de gestión, la cual debe:

a) Ser adecuada al propósito de la organización.b) Ser apropiada a la naturaleza y magnitud de los impactos ambientales de sus actividades,

productos y servicios.c) Ser apropiada a la naturaleza y magnitud de los riesgos de seguridad y salud ocupacional para

las personas vinculadas a sus actividades.d) Ser coherente con la estructura de la gestión de amenazas y riesgos de la seguridad de la

cadena de suministro.e) Incluir o hacer referencia a los objetivos y metas específicas para la gestión. (Véase 1.1.5)f) promoviendo la implementación y sostenibilidad de la administración de seguridad de procesos

operacionales,g) Incluir o hacer referencia al alcance, incluidas las limitaciones y exclusiones de la continuidad

del negocio.h) Ser coherente con el plan de desarrollo, los planes sectoriales y de desarrollo administrativo del

Gobierno Nacional, el Sistema de Control Interno y el marco estratégico establecido (Véase1.1.2).

i) Ser consistente con el marco de desarrollo sostenible que promueve la organización (Resultadoseconómicos, sociales y ambientales).

j) Incluir un compromiso con la resiliencia, la sostenibilidad y la mejora continua de los procesosdel SGCI, el cumplimiento de los requisitos de sus grupos de interés, la prevención de lacontaminación, la prevención de lesiones y enfermedades, la preservación de la seguridad de la





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

11/93

información, la prevención de incidentes que puedan interrumpir los procesos y los requisitos

legales aplicables y otros requisitos que suscriba la organización.k) Incluir la filosofía de gestión de riesgos y controles.l) Proporcionar un marco de referencia para establecer y revisar los objetivos, metas y programas

de gestión. Debe ser comunicada a todos los grupos de interés y estar disponible para ellos.m) Ser comunicada y entendida dentro de la organización yn) Ser revisada para su continua adecuación. Por ejemplo, en caso de adquisición o fusión con otra

organización u otros cambios en el alcance del negocio de la organización.

Adicionalmente, para los laboratorios de ensayo y calibración, debe especificarse lo siguiente:

o) El compromiso de la Dirección de los laboratorios con la buena práctica profesional y con lacalidad de sus ensayos y calibraciones durante el servicio a sus clientes.

p) Una declaración de la dirección con respecto al tipo de servicio ofrecido por los laboratorios.q) El propósito del sistema de gestión concerniente a la calidad.r) Un requisito de que todo el personal relacionado con las actividades de ensayo y de calibración

dentro de los laboratorios se familiarice con la documentación de la calidad e implemente loslineamientos y procedimientos en su trabajo y

s) El compromiso de la Dirección de los laboratorios de cumplir con los requisitos del SGCI ymejorar continuamente su eficacia.

NOTA: Cuando la política integral de gestión de la organización no cumpla los requisitos establecidos para las diferentestemáticas de gestión y control, tales requisitos adicionales pueden detallarse o complementarse en otros documentos.

1.1.5 OBJETIVOS Y METAS ESPECÍFICAS PARA LA GESTIÓN

Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar y mantener objetivos ymetas de la calidad (incluidos cuando corresponda, los objetivos generales de los laboratorios),objetivos y metas de seguridad industrial, seguridad de procesos operacionales, salud ocupacional ymedioambiente; objetivos para la continuidad de negocio, objetivos de la seguridad de la información,objetivos de gestión de la seguridad de la cadena de suministro en las funciones y niveles pertinentes,dentro de la organización. Los objetivos deben ser medibles y coherentes con la estrategia (Misión,Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores y competenciasorganizacionales, política integral de gestión, entre otros) de la organización.

Para establecer y revisar los objetivos y metas se debe tener en cuenta, cuando sea apropiado:

a) Los requisitos legales, reglamentarios, del producto y otros que la organización suscriba.

b) Los recursos financieros, humanos y operacionales con los que cuenta incluyendo sus opcionestecnológicas.c) Las opiniones de los grupos de interés.d) El compromiso de prevenir las lesiones, enfermedades.e) Sus aspectos e impactos ambientales significativos.f) Las amenazas y riesgos relacionados con la seguridad.g) Los requisitos para la continuidad de negocio.h) El nivel de apetito y tolerancia al riesgo.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

12/93

1.1.6 PROGRAMAS DE GESTIÓN

Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar, mantener y lideraruno o varios programas de gestión para alcanzar sus objetivos y metas específicos para la gestión.

Estos programas deben incluir:

a) Actividades para el logro de los objetivos y metas específicos de gestión relacionados con lacalidad, el medio ambiente, seguridad y salud ocupacional, continuidad de negocio, seguridadde la información, seguridad de la cadena de suministro, en las funciones y niveles pertinentes,dentro de la organización.

b) La asignación de responsabilidades para llevar a cabo estas actividades.c) Los recursos, medios y plazos establecidos para el logro de los objetivos y metas específicos

para la gestión.

El(los) programa(s) de gestión se debe(n) revisar a intervalos planificados y se deben ajustar, si esnecesario, para asegurar que los objetivos se logren.

1.1.7 MANUAL DEL SGCI

Ecopetrol S.A. y sus subordinadas deben establecer, documentar y mantener un manual de SGCI queincluya:

a) El alcance del SGCI, incluidos los detalles y la justificación de cualquier excepción deaplicabilidad de los requisitos de los subelementos, siempre y cuando tales excepciones noafecten la capacidad o responsabilidad de la organización para proporcionar productos y/o

servicios y cumplir con el marco estratégico establecido, con los requisitos de los grupos deinterés y los legales que le son aplicables.

b) Contener la política integral de gestión, los objetivos y metas para la gestión o hacer referenciaa los mismos.

c) Los procedimientos documentados establecidos para el SGCI o referencia a los mismos yd) Una descripción de la interacción entre los procesos del SGCI.

Para los laboratorios que requieren acreditar sus ensayos y calibraciones, se debe definir un manual decalidad independiente que incluya lo siguiente:

e) La política de calidad de los laboratorios.f) Contener o hacer referencia a los procedimientos de apoyo, incluidos los procedimientos

técnicos.g) Descripción de la estructura de la documentación utilizada en el SGCI.h) Definición de las funciones y responsabilidades de la dirección técnica y del responsable de la

calidad, incluida su responsabilidad para asegurar el cumplimiento de NTC ISO/IEC 17025.

NOTA: El Manual de calidad puede variar en cuanto a detalle y formato para adecuarse al tamaño y complejidad de laorganización en particular.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

13/93

1.1.8 COMPROMISO DE LA DIRECCIÓN

La Alta Dirección debe proporcionar evidencia de su compromiso con el establecimiento,implementación, operación, monitoreo, mantenimiento del SGCI y la mejora continua de su eficacia,eficiencia, efectividad y el logro de los objetivos de la organización:

a) Comunicando a la organización la importancia de satisfacer tanto los requisitos de los grupos deinterés así como los legales y reglamentarios.

b) Manifestando su interés por la gestión efectiva de los riesgos.c) Estableciendo la política integral de gestión.d) Estableciendo un marco estratégico, los planes tácticos y plurianuales relacionados.e) Estableciendo un plan de continuidad de negocio.

f) Estableciendo las instancias necesarias de gestión y control (comités, consejos, etc.)(Véase2.1.3), para garantizar el logro de los objetivos de la organización.g) Determinando e implementando las acciones necesarias para establecer objetivos en los

diferentes niveles.h) Asegurando que se realicen las evaluaciones independientes yi) Llevando a cabo las revisiones por la dirección y asegurando la disponibilidad de los recursos.

Para la gestión de riesgos y controles, Ecopetrol S.A. y sus subordinadas deben conformar un Consejode Administración u organismo similar activo con la competencia necesaria para llevar a cabo susresponsabilidades de monitoreo y estar preparado para monitorear y evaluar las actividades de ladirección, presentar enfoques alternativos y actuar frente a prácticas ilícitas. (Véase 2.1.3.1)

Ecopetrol S.A. y sus subordinadas deben establecer un gobierno de la seguridad de la información, que

incluya la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales.(Véase 2.1.4)

NOTA El comité de responsabilidad integral de la organización es una instancia de gestión y control en temas deSeguridad industrial, seguridad de procesos operacionales, salud ocupacional y medioambiente. Su función principal es laaprobación y despliegue de lineamientos relacionados.

1.2

REQUISITOS LEGALES ASOCIADOS A LOS ESTÁNDARES NORMATIVOSConsolidar los requisitos y lineamientos emanados de los estándares normativos adoptados porEcopetrol S.A, relacionados con identificación, cumplimiento o control de requerimientos legales.

Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar y mantener uno ovarios procedimientos para:

a) Definir los lineamientos para asegurar el cumplimiento de los requisitos legales aplicables yotros requisitos que la organización suscriba.

b) Establecer los lineamientos para generar, gestionar, controlar y divulgar las normas yestándares de Ecopetrol S.A., con el fin de aplicar y asegurar las mejores prácticas.

c) Identificar y tener acceso a los requisitos legales aplicables, otros requisitos que la organizaciónsuscriba.

d) Determinar cómo se aplican estos requisitos a los aspectos relacionados con el SGCI, lasamenazas y riesgos de la organización.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

14/93

e) Mantener actualizada esta información.

f) Comunicar sobre requisitos legales aplicables y otros requisitos que la organización suscriba,relacionados con el SGCI a todos los grupos de interés, según aplique.

g) Hacer seguimiento al cumplimiento de los requisitos legales y otros requisitos que laorganización suscriba. (Véase 7.6.7).

Ecopetrol y sus subordinadas deben identificar pronunciamientos judiciales y decisiones administrativasrespecto de la aplicación e interpretación de sus requisitos legales con el fin de establecer y divulgarlecciones aprendidas, implementar planes de mejoramiento y determinar la necesidad de creación omodificación de sus lineamientos.

NOTA 1: Dentro de los otros requisitos que la organización suscriba se encuentran contemplados los mecanismos deautorregulación, entendidos como los estándares adoptados voluntariamente por Ecopetrol S.A. y sus subordinadas, queexceden los requisitos reglamentarios y que se constituyen de obligatorio cumplimiento para la organización (ejemplo:Normas ISO, COSO ERM,OSHA 1910.119, entre otras).

NOTA 2: Los entes legisladores y reguladores pueden intervenir en la organización a través de requisitos para la gestión deriesgos y controles y el control interno, mediante auditorías.

NOTA 3: La organización debería identificar las entidades gubernamentales competentes para la expedición de normas ylas asociaciones profesionales técnicas de su sector, a efecto de propiciar espacios de discusión y concertaciónsistemáticos, que busquen la mejora de su marco jurídico y regulatorio (Véase 1.3.1)

1.3

INTELIGENCIA COMPETITIVAEl subelemento Inteligencia Competitiva tiene como finalidad agrupar los lineamientos y requisitos delas referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos

para la adecuada gestión de los procesos, relacionados con el entendimiento, seguimiento y análisis

sistemático del entorno, en relación con aspectos políticos, económicos, financieros, sociales, laborales,legales, tecnológicos, de seguridad y salud, medio ambientales, de mercado y competencia que

permitan identificar amenazas y oportunidades, soportar la planificación e implementación de loscambios, así como dar alertas oportunas para la toma de decisiones estratégicas de la organización.

1.3.1 INTELIGENCIA COMPETITIVA

Ecopetrol S.A. y sus subordinadas deben establecer un proceso organizado, selectivo y sistemático parala búsqueda de señales de cambio y novedades para transformarlas en conocimiento, así como laobservación, captación, selección, análisis y difusión de la información de la propia organización y delexterior, que permita la toma de decisiones.

Este proceso debe permitir a la organización:

a) Generar capacidad de anticipación.b) Identificar oportunidades para mejorar la capacidad competitiva.c) Aumentar la capacidad de innovación. (Véase 7.1)d) Generar mayor valor para trabajar asociativamente.e) Tomar decisiones con menor riesgo.

Ecopetrol S.A. y sus subordinadas deben establecer lineamientos para llevar a cabo el análisis externoconsiderando como mínimo aspectos tales como:





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

15/93

f) Identificar y caracterizar escenarios de evolución de los desarrollos actuales.

g) Identificar casos de éxito y de fracaso, de proyectos.h) Obtener datos de evolución de los mercados en su sector.i) Investigar y monitorear en forma permanente la existencia de normas técnicas, regulaciones o

recomendaciones, a nivel internacional o nacional, y prever las exigencias futuras de losrequisitos legales.

j) Realizar estudios comparativos de productos de la competencia.k) Identificar, valorar y proponer las oportunidades de alianzas tecnológicas.

Se deben mantener registros de los resultados de la inteligencia competitiva. (Véase 3.3.2)

1.3.2 PLANIFICACIÓN DE CAMBIOS DEL SGCI

Ecopetrol S.A. y sus subordinadas deben mantener la integridad del SGCI cuando se planifican e

implementan cambios en éste. Estos cambios pueden incluir temas relacionados con requisitos legalesy reglamentarios, infraestructura, tecnología, estructura organizacional, introducción de nuevosprocesos o actividades, o la entrada a nuevos mercados con las consecuencias de cumplimiento legalque eso implica, entre otros. Para esto debe:

a) Definir, establecer, mantener e implementar uno o varios procedimientos, para la planificación eimplementación de cambios del SGCI.

b) Asegurar que todas las solicitudes de cambio se evalúan de una manera adecuada en cuanto aimpactos en el SGCI, la operación y los resultados del negocio. Esta evaluación debe incluir laidentificación de los riesgos asociados con los cambios y siempre que sea factible, unacategorización y priorización de los cambios.

c) Entrenar y desarrollar competencias, cuando sea pertinente, a colaboradores directos eindirectos cuyas actividades sean afectadas por el cambio.(Véase 2.3.1)

d) Comunicar de forma clara y oportuna los cambios fundamentales en el SGCI de tal manera quese facilite la intervención de los comportamientos deseados, relacionados con procesos,procedimientos y responsabilidades.

e) Actualizar, cuando sea pertinente, toda la documentación, incluidos los registros, que seanafectados por el cambio.(Véase 3.3.1 y 3.3.2)

f) Mantener registros de la planificación de cambios. (Véase 3.3.2)

NOTA: En la planificación de cambios es importante tener en cuenta el análisis y desarrollo de la descripción del cambio demanera que ilustre y documente claramente como se modifica el proceso y/o instalaciones, el propósito del cambio, elanálisis técnico del cambio y los riesgos asociados.

1.4

GRUPOS DE INTERÉSEl subelemento Grupos de Interés tiene como finalidad agrupar los lineamientos y requisitos de lasreferencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos parala adecuada gestión de los procesos relacionados con la identificación de los grupos de interés, elestablecimiento de los mecanismos de participación y consulta, la definición de compromisos, elrespeto por los derechos humanos, el diseño de estrategias de comunicación, su aplicación y larendición de cuentas.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

16/93

1.4.1 RELACIONAMIENTO CON LOS GRUPOS DE INTERES

Ecopetrol S.A y sus subordinadas deben establecer e implementar lineamientos para elrelacionamiento con los grupos de interés de acuerdo con las características de cada uno y el nivel deinfluencia que estos representen para la organización, los principios y valores y el cumplimiento de lasleyes nacionales e internacionales aplicables. Para esto, debe:

a) Identificar y clasificar los grupos de interés.b) Priorizar los grupos de interés teniendo en cuenta, entre otros aspectos, su incidencia en la

toma de decisiones, la obtención de ingresos, la operación y la estrategia.c) Establecer mecanismos para la participación, consulta y captura de expectativas de los grupos

de interés para conocer puntos de vista y generar acciones acordes con sus necesidades.d) Establecer y ejecutar las acciones de relacionamiento con grupos de interés.

e) Informar a los grupos de interés sobre las acciones que fueron llevadas a cabo. En este paso,también se le informará a la sociedad en general la gestión adelantada con los grupos; (Véase1.4.2)

f) Realizar revisión de las acciones de relacionamiento con grupos de interés e identificar cualquierfalencia en la identificación, clasificación, priorización e información transmitida a los grupos deinterés.

g) Llevar a cabo planes de mejoramiento.(Véase 7.7)

NOTA 1: Son considerados grupos de interés para una organización: los accionistas e inversionistas; los clientes,empleados, pensionados y familiares; sociedad y comunidad; Estado, socios; contratistas y sus empleados, entre otros.

NOTA 2: Para la identificación y clasificación de los grupos de interés, conviene tener en cuenta el sector al que pertenecela organización y enmarcar los grupos de interés según la dimensión a la que pertenezca, ya sea económica, social oambiental.

NOTA 3: Son mecanismos para participación, consulta y captura de expectativas de los grupos de interés: las entrevistas,encuestas, cuestionarios, diálogos con grupos focales, entre otros.

1.4.2 COMUNICACIONES

Se debe asegurar que se establecen los procesos y /o métodos de comunicación apropiados dentro dela organización y que la información pertinente se comunica hacia y desde los diferentes niveles de laorganización y grupos de interés. Se efectúa considerando la eficacia y efectividad del SGCI.Estos procesos deben asegurar una comunicación eficaz con los grupos de interés relativa a:

a) El marco estratégico, los principios y valores.b) Información sobre el desempeño de la organización (Cumplimiento de objetivos y metas)

c) Manejo de crisis en temas internos y externos que afecten a algún grupo de interés o lareputación de la organización.

d) Información acerca de sus aspectos ambientales significativos, cuando lo considere pertinente ydebe documentar su decisión.

e) Administración de la información relevante que, como tal, afecte el valor de la acción en bolsa,f) cultura organizacionalg) Factores que apalanquen los procesos de ética, cumplimiento y gestión de riesgos.h) Manejo de la imagen y marca de la organización.i) Información sobre los productos y/o servicios.

j) Consultas, contratos o solicitudes, incluidas las modificaciones





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

17/93

k) Información sobre comportamientos deseados de proveedores y contratistas.

l) Retroalimentación del cliente, incluidas sus peticiones, quejas, reclamos, percepciones,sugerencias y felicitaciones. (Véase 7.4)m) Información de los procedimientos disponibles para la resolución de conflictos, derechos

humanos, desacuerdos con los grupos de interésn) Mecanismos de participación ciudadana y canales de información y contacto.

Se debe establecer e implementar uno o varios procedimientos para la resolución de peticiones, quejas,reclamos y atención de sugerencias y felicitaciones recibidas de los grupos de interés.Se deben mantener los registros de todas las quejas, las investigaciones y de los planes demejoramiento emprendidos (Véase 3.3.2 y 7.7).

Se deben establecer canales alternativos de comunicación, adicionales a las líneas normalesestablecidas, que permitan a los colaboradores reportar información sensible de los actos ilegales o

inadecuados. Se debe proporcionar lineamientos sobre los temas que deben ser reportados, para locual se debe garantizar la confidencialidad.

Las comunicaciones hacia los grupos de interés deben regirse por:

o) El manejo adecuado de la imagen y política de marca de la organización.p) Los medios corporativos a través de los cuales se comunica con los grupos de interés.q) Los lineamientos de divulgación de información en la que se destacan los temas de información

relevante.r) Los canales de atención dispuestos para los diferentes grupos de interés.

1.4.3 RENDICIÓN DE CUENTAS

Ecopetrol y sus subordinadas deben establecer lineamientos para rendir cuentas por sus impactos en lasociedad, la economía y el medio ambiente ante quienes controlan los intereses de la organización, losórganos de gobierno, las autoridades competentes, aquellos afectados por sus decisiones y actividadesy la sociedad en general. Esto implica un comportamiento transparente y ético que contribuya aldesarrollo sostenible, cumpla con la legislación aplicable y sea coherente con la normativa internacionalde comportamiento.

Estos lineamientos deben incluir la aceptación de responsabilidad cuando se cometen errores, la tomade medidas adecuadas para repararlos y la toma de acciones para prevenir que se repitan.

NOTA 1: El grado de rendición de cuentas puede variar, pero debería siempre corresponder con el grado o extensión de laautoridad, asegurar el despliegue del direccionamiento y la rendición de cuentas en los niveles estratégico, táctico yoperativo de la organización.

NOTA 2: El Informe de Sostenibilidad de una organización puede ser una de las mejores herramientas, porque se da aconocer a todos sus grupos de interés su desempeño a nivel económico, social y ambiental y ser útil como unaherramienta de gestión.

1.5 DEFINICIÓN DE RECURSOSEl subelemento Definición de Recursos tiene como finalidad agrupar los lineamientos y requisitos de lasreferencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos parala adecuada gestión de los procesos, relacionados con la identificación de necesidades y aseguramientode la disponibilidad de recursos, para el desarrollo de las actividades que apalancan la estrategia.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

18/93

Ecopetrol S.A. y sus subordinadas deben establecer y mantener un marco de trabajo financiero para

administrar las inversiones y el costo de los activos y servicios de la organización. El marco de trabajodebe incluir cuando sea apropiado lo siguiente:

a) La implementación de un proceso efectivo que facilite la toma de decisiones y la priorización dela asignación de recursos.

b) La elaboración y administración de un presupuesto que refleje las prioridades establecidas en elportafolio de inversión empresarial, incluyendo los costos recurrentes de operar y mantener lainfraestructura actual.

c) El análisis y el reporte de los costos de acuerdo con los sistemas de medición financiera de laorganización, que permita soportar un modelo de costos transparente.

La Alta Dirección debe asegurar que se distribuyen los recursos entre las unidades de negocio, teniendo

en cuenta el marco estratégico y la tolerancia y apetito de riesgo definidos por la organización.Se debe determinar y proporcionar los recursos necesarios para:

d) Establecer, implementar, operar, monitorear, revisar, mantener el SGCI y mejorarcontinuamente su eficacia, eficiencia y efectividad.

e) Asegurar que los procedimientos del SGCI brindan apoyo a los requerimientos de laorganización.

f) Mantener la seguridad suficiente mediante la aplicación de todos los controles.g) Identificar y atender los requisitos legales, reglamentarios y otros que la organización suscriba.h) Llevar a cabo revisiones cuando sea necesario y reaccionar apropiadamente a los resultados de

estas revisiones.i) Aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos.

NOTA: Los recursos incluyen la infraestructura y recursos tecnológicos, los recursos financieros, el talento humano, entreotros.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

19/93

2. GENTE

El elemento Gente tiene como finalidad agrupar y correlacionar y requisitos de las referenciasnormativas nacionales e internacionales y los definidos por Ecopetrol S.A, que orienten la definición dela estructura organizacional y de compensación así como el desarrollo integral de la gente quecontribuya de forma efectiva al logro de los objetivos de la organización.2.1 ESTRUCTURA ORGANIZACIONALEl subelemento Estructura Organizacional tiene como finalidad agrupar los lineamientos y requisitos delas referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos

para la adecuada gestión de los procesos, relacionados con la delimitación de roles, responsabilidades,autoridades y relaciones entre el personal, descripción de cargos (incluidas las competenciasrequeridas) y sistema de compensación para permitir que cada colaborador tenga claridad del alcancedel rol en el cual se desempeña, con el fin de apalancar el logro de los objetivos de la organización.

2.1.1 ORGANIZACIÓN Y ESTRUCTURA DE GESTIÓN

Ecopetrol S.A. y sus subordinadas deben establecer y mantener una estructura organizacional queproporcione un marco de referencia para planear, ejecutar, controlar y monitorear sus actividades ydebe ser pertinente a las necesidades de la organización y la naturaleza de sus actividades.Adicionalmente, los laboratorios deben definir su ubicación dentro de la organización y las relacionesentre la gestión de la calidad, su propia estructura de gestión, las operaciones técnicas y los serviciosde apoyo.

La estructura organizacional debe incluir la definición de funciones, roles, responsabilidades,autoridades, líneas adecuadas de reporte y protocolos de autorización, de manera coherente con ellogro de su política integral de gestión, objetivos, metas y programas específicos para la gestión. Laestructura organizacional aprobada debe ser insumo para la definición del sistema de compensación.Deben establecerse mecanismos para evaluar la estructura organizacional de forma periódica, para

identificar si cumple con las necesidades de la organización. Cuando la evaluación de la estructuraorganizacional de como resultado ajustes en los requerimientos de personal y las estrategias internas,se deben establecer lineamientos para afrontar estos cambios. Estos lineamientos deben incluir comomínimo:

a) Análisis de riesgos. (Véase 6.1)b) Mecanismos de comunicación. (Véase 1.4.2)c) Desarrollo de competencias necesarias para el desarrollo de las actividades. (Véase 2.3.1)d) Mecanismos de monitoreo. (Véase 7.6)

2.1.2 FUNCIONES, ROLES, RESPONSABILIDADES Y AUTORIDADES

La Alta Dirección debe asumir la máxima responsabilidad por el SGCI y debe asegurarse de que las

funciones, roles, responsabilidades, competencias y autoridades están definidas, documentadas y seancomunicadas dentro de Ecopetrol S.A y sus subordinadas, asegurando que el personal realice sólo lastareas autorizadas y relevantes a sus cargos respectivos.

Se deben definir las responsabilidades sobre los procedimientos relacionados con el reporte, manejo,monitoreo y resolución de incidentes. Se deben establecer los roles y responsabilidades, de maneraque se reduzca la probabilidad de que un solo individuo afecte un proceso crítico.

Cuando la organización requiera delegar funciones y responsabilidades debe asegurar que la toma dedecisiones se basa en prácticas sólidas de identificación y evaluación de riesgos, segregación adecuada





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

20/93

de funciones, incluido el dimensionamiento de los riesgos y de las pérdidas potenciales frente a las

ganancias para determinar cuáles riesgos se aceptan y cómo se administran.NOTA: La delegación tiene como requisito implícito un mayor nivel de competencia del empleado, además de un aumentode su responsabilidad. También puede exigir procedimientos efectivos para que la dirección controle sus resultados y seasegure de que las decisiones puedan anularse o aceptarse según el caso.

Se debe definir, monitorear y supervisar los roles, responsabilidades y el sistema de compensación delpersonal, incluido el cumplimiento de adherirse a los lineamientos y procedimientos, al código de éticay prácticas profesionales. El nivel de supervisión debe estar de acuerdo con la sensibilidad del cargo yel grado de responsabilidades asignadas.

Deben existir procesos, lineamientos de administración y procedimientos para todas las funciones, conatención específica en el control, el aseguramiento de la calidad, la gestión de riesgos y controles, laseguridad de la información, la propiedad de datos y de sistemas y la segregación de funciones.

Los laboratorios deben:

a) Tener personal directivo y técnico que tenga, además de otras responsabilidades, la autoridad ylos recursos para implementar, mantener y mejorar el sistema de gestión, y para identificar losdesvíos del mismo e iniciar acciones destinadas a prevenir o minimizar dichos desvíos.

b) Tener una dirección técnica con la responsabilidad total por las operaciones técnicas y laprovisión de los recursos necesarios para asegurar la calidad requerida de las operaciones dellaboratorio.

c) Nombrar sustitutos o delegados para el personal directivo clave.d) Definir las responsabilidades del personal clave de la organización que participa o influye en las

actividades de ensayo o de calibración de los laboratorios, con el fin de identificar potencialesconflictos de intereses.

NOTA 1: Las personas pueden tener más de una función y puede ser impracticable designar sustitutos para cada función.NOTA 2: Es conveniente que las disposiciones de la organización aseguren que los procesos que tengan interesesdivergentes no influyan en forma adversa en el cumplimiento de los laboratorios con los requisitos del SGCI.

NOTA 3 : La organización debería contar con una matriz de roles y responsabilidades para asegurar que se ejecuten lasactividades definidas en la estructura organizacional existente.

2.1.3 ROLES Y RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS Y CONTROLES

La gestión de riesgos y controles es responsabilidad de todos los colaboradores de Ecopetrol S.A. y sussubordinadas. Todos los colaboradores deben comunicar a los niveles pertinentes de la organizacióncualquier problema en las operaciones, incumplimiento del Código de Ética y Código de Buen Gobierno,violación de lineamientos o acto ilegal.

Ecopetrol S.A. y sus subordinadas deben definir los roles y responsabilidades de las partes implicadas.Esta estructura debe estar conformada, como mínimo, por:

a) Consejo de Administración.b) Alta Dirección.c) Responsable(s) de riesgos y controles.d) Evaluadores independientes internos y externos. (Véase 7.5.3)





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

21/93

2.1.3.1 Consejo de Administración

El Consejo de Administración tiene como responsabilidades:

a) Proporcionar monitoreo, asesoría y orientación de la gestión de riesgos y controles.b) Monitorear los asuntos relacionados con el cumplimiento efectivo del Código de Ética y de Buen

Gobierno.c) Analizar el impacto de la materialización de los riesgos en términos del costo de los

incumplimientos legales nacionales e internacionales.d) Asegurar la prevención y descubrimiento de actos de fraude, corrupción, lavado de activos y

financiación del terrorismo.e) Participar en la formulación de la estrategia.f) Asegurar que todos sus miembros sean externos e independientes, con el fin de estar

preparada para monitorear y evaluar las actividades de la dirección, presentar enfoquesalternativos y actuar frente a prácticas ilícitas.

NOTA 1: Los comités de auditoría de la Junta Directiva de las organizaciones o quien(es) haga sus veces pueden asumir elrol del Consejo de Administración.

NOTA 2: Conviene que el Consejo de Administración cuente con un experto financiero que soporte su función.

2.1.3.2 Alta Dirección

La Alta Dirección tiene las siguientes responsabilidades en la gestión de riesgos y controles:

a) Formular la estrategia, establecer los objetivos estratégicos y la asignación de recursos.

b) Formular los lineamientos, desarrollar la cultura de la organización, establecer su filosofía degestión de riesgos y controles y el nivel de apetito de riesgo.

c) Monitorear la gestión de riesgos y controles de la organización.d) Revisar periódicamente las responsabilidades de las unidades organizativas y monitorear las

actividades y riesgos en relación con el apetito de riesgo de la organización. (Véase 7.3 y 7.6)e) Tomar las medidas necesarias y la posibilidad de acciones posteriores o de ajustar el apetito de

riesgo, en conjunto con el consejo de administración, cuando sea pertinente.f) Asegurar la prevención y detección de actos de fraude, corrupción, lavado de activos y

financiación del terrorismo.g) Responder por la información financiera reportada ante los organismos de control.

Los responsables de los procesos o unidades organizativas deben formular recomendaciones sobre las

actividades de control, monitorear su aplicación y funcionamiento y deben abarcar la autoridad y larendición de cuentas ante su superior inmediato. Para este efecto, el Presidente de la organización, elresponsable último ante el Consejo de Administración.

NOTA 1: El Comité Directivo de la organización o quien(es) haga(n) sus veces puede asumir el rol de Alta Dirección.

NOTA 2: En la organización, pueden existir estructuras de control de gestión, conformadas entre otros, por comités ysubcomités que tienen dentro de sus funciones la gestión de los diferentes tipos de riesgos.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

22/93

2.1.3.3 Responsable (s) de Riesgos y controles

La Alta Dirección debe nombrar un(os) responsable(s) de riesgos, quien(es) tiene(n) las siguientesresponsabilidades en la gestión de riesgos y controles:

a) Trabajar en acompañamiento con otros directivos para establecer una gestión efectiva deriesgos y controles en su respectiva área de responsabilidad, monitorear el progreso de dichagestión y apoyar a los demás directivos a informar sobre los riesgos relevantes y servir comoun canal complementario de reporte para la organización.

b) Enmarcar la autoridad y responsabilidad de la gestión de riesgos y controles en los procesos oen las unidades organizativas.

c) Proporcionar apoyo técnico para alinear las respuestas a los riesgos con la tolerancia a ellos yla aplicación de adecuados controles.

d) Apoyar la integración de la gestión de riesgos y controles con otras actividades de planeación yadministración de la organización.e) Establecer un lenguaje común para la gestión de riesgos y controles, que incluya la unificación

de medidas de su probabilidad e impacto y de las categorías de riesgo.f) Proporcionar soporte a los directores, ya que deben asumir la responsabilidad primaria y tener

una rendición de cuentas por la gestión de riesgos y controles dentro de sus respectivasunidades organizativas.

NOTA: Este rol puede ser asignado a uno o varios responsables, siempre y cuando se aseguren canales de comunicacióneficaces entre ellos, o crear una asignación funcional y recursos definidos, debido a la importancia y amplitud del alcancede este rol en la gestión de riesgos y controles.

2.1.3.4

Evaluadores independientes internos y externos

Los evaluadores independientes deben:

a) Evaluar la adecuación y efectividad de la gestión de riesgos y controles y el SGCI, incluida laevaluación de la confiabilidad y razonabilidad de los reportes, la efectividad y eficiencia de lasoperaciones y el cumplimiento de leyes y regulaciones aplicables.

b) Informar los resultados de la evaluación independiente a la instancia correspondiente,c) Formular recomendaciones para la mejora.d) Monitorear y evaluar el cumplimiento y efectividad de las acciones de mejora que se

implementen para atender los hallazgos y recomendaciones.

NOTA: Las evaluaciones independientes internas pueden ser reportadas al Consejo de Administración, la Alta Dirección,

unidades organizativas, entre otros. Todo depende la naturaleza de la evaluación.

2.1.4 ROLES Y RESPONSABILIDADES EN EL GOBIERNO DE LA SEGURIDAD DE LAINFORMACIÓN

La organización debe instaurar instancias de gobierno de la seguridad de la información necesariaspara:

a) Direccionar y hacer cumplir los lineamientos en materia de seguridad de la información.b) Proteger los flujos de información de la organización en el contexto de sus procesos de negocio.c) Asegurar y verificar la infraestructura, las aplicaciones y las operaciones de las TI.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

23/93

d) Determinar las prioridades de los programas de inversión alineadas con el marco estratégico y

prioridades de la organización.e) El seguimiento al estado de los proyectos.f) Revisar los incidentes, resolver los conflictos de recursos y monitorear los niveles de servicio y

proponer planes de mejoramiento de ser necesario.g) Establecer el plan de seguridad de la información.h) Orientar el diseño de la arquitectura de la seguridad de la información.

NOTA: Las actividades anteriormente descritas pueden llevarse a cabo en la organización, según sea pertinente, a travésde alguna de las siguientes instancias: Comité de Seguridad de la Información, Comité de Arquitectura Empresarial o unaDirección Tecnológica. En su defecto, una combinación de estas instancias.

2.1.5 REPRESENTANTE DE LA DIRECCIÓN

La Alta Dirección debe designar un(os) miembro(s) de la dirección de Ecopetrol S.A. y sussubordinadas, con la competencia necesaria, quien(es) independientemente de otras responsabilidades,debe(n) tener la responsabilidad y autoridad que incluya:

a) Asegurar la implementación de la política integral de gestión;b) asegurar que se establecen, implementan y mantienen los procesos necesarios para la

implementación del SGCI;c) asegurar que se presentan informes a la Alta Dirección sobre el desempeño del SGCI para su

revisión y que se usan como base para la mejora;d) asegurar que se promueva la toma de conciencia de los requisitos del SGCI en todos los niveles

de la organización;e) cuando aplique, asegurar que el sistema de gestión relativo a la calidad de los laboratorios sea

implementado y respetado en todo momento.

La identidad del(os) representante(s) de la Alta Dirección se debe informar a todas las personas quetrabajan bajo el control de la organización.

NOTA 1: La responsabilidad del(os) representante(s) de la dirección puede incluir relaciones con partes externas sobreasuntos relacionados con el SGCI.

NOTA 2: El(os) representante(s) de la Alta Dirección puede delegar algunos de sus deberes a un representante de ladirección subordinado, pero conservando la responsabilidad de rendir cuentas.

NOTA 3: Los roles y responsabilidades establecidos en este marco de requisitos guardan relación con los documentos degobierno corporativo.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

24/93

2.2 CULTURA Y TOMA DE CONCIENCIAEl subelemento Cultura y Toma de conciencia tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos

para la adecuada gestión de los procesos, relacionados con el autocontrol, la vivencia de los principiosy valores, así como los comportamientos, costumbres, creencias y actitudes compartidas, para lograr elcompromiso con su cumplimiento por parte de los trabajadores directos y trabajadores de contratistasde Ecopetrol S.A.


a) Comunicar y asegurar que los colaboradores directos e indirectos son conscientes de lapertinencia e importancia de sus actividades, su relación con el trabajo de los demás y de cómocontribuyen al logro de los objetivos, metas, mejoramiento continuo del SGCI y en general al

marco estratégico de la organización.

b) Establecer, implementar y mantener un(os) procedimiento(s) y programa (s) para hacer que laspersonas tomen conciencia de:

1. Sus funciones y responsabilidades y la importancia de lograr conformidad con lapolítica integral de gestión, procedimientos y requisitos del SGCI, incluidos losrequisitos de preparación y respuesta ante emergencias.

2. Los peligros, amenazas y riesgos, aspectos e impactos ambientales reales ypotenciales asociados a sus actividades laborales.

3. La importancia de cumplir rigurosa y continuamente con los procedimientos y

prácticas seguras establecidas.4. las consecuencias potenciales de desviarse de los procedimientos especificados parael SGCI.

5. Su comportamiento, identificando, si es considerado aceptable, adecuado, legal, ono, de acuerdo con los lineamientos de ética corporativos y los beneficios obtenidospor un mejor desempeño personal.

c) Tomar medidas para asegurar que su personal está libre de cualquier presión o influenciaindebida, interna o externa, comercial, financiera o de otro tipo, que pueda perjudicar la calidadde su trabajo.

d) Establecer lineamientos para evitar que el personal participe en actividades que pueda disminuir

la confianza en su competencia, imparcialidad, juicio o integridad operativa.

e) Establecer mecanismos para hacer consultas o denuncias sobre hechos o situaciones referentesa la ética y la transparencia en la organización.

NOTA 1: Este requisito guarda relación con el Código de Ética vigente de la organización.

NOTA 2: Tomar conciencia incluye la interiorización y puesta en práctica de los diferentes temas asociados a sucontribución al logro de los objetivos, metas, mejoramiento continúo del SGCI y en general al marco estratégico de laorganización.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

25/93

NOTA 3: Las influencias indebidas externas hacen referencia entre otros aspectos, a factores tales como alcohol y abuso

de sustancias psicoactivas, falta de sueño, enfermedades individuales o familiares, muertes en la familia, divorcio, acoso,entre otros. Las medidas para tratar casos donde se presenten algunas de las influencias indebidas, pueden incluir laidentificación de actividades en las que las tales influencias podrían contribuir a la generación de situaciones de riesgo,prácticas para detectar casos de influencias al momento de contratar, lineamientos para tratar con casos sospechados,programas de rehabilitación/asistencia apropiados y mecanismos de comunicación a los colaboradores.

2.3 DESARROLLO DE LA GENTEEl subelemento Desarrollo de la Gente tiene como finalidad agrupar los lineamientos y requisitos de lasreferencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos parala adecuada gestión de los procesos, relacionados con el desarrollo y aseguramiento de lascompetencias para lograr que los trabajadores directos se desempeñen de manera efectiva en su cargoy adicionalmente mejoren su empleabilidad que le permita asumir nuevos roles y retos. Así comotambién controlar que los trabajadores de contratistas tengan el desempeño requerido para llevar a

cabo las labores encomendadas.

Ecopetrol S.A. y sus subordinadas deben asegurar que cualquier persona que esté bajo su control y queejecuta tareas que pueden tener impacto sobre la conformidad con los requisitos del producto y/oservicio; ensayo y/o calibraciones, la seguridad industrial, seguridad de procesos operacionales, saludocupacional y medio, la seguridad de la cadena de suministro, seguridad de la información, la gestiónde la continuidad del negocio, sea competente y calificado según su educación, habilidades, formacióny experiencia apropiados. Se debe asegurar que el personal sea apto para trabajar (físicamentedisponible, mentalmente alertas y capaces de usar buen juicio para seguir adecuadamente las practicasprescritas).

Se deben mantener los registros relacionados. (Véase 3.3.2)

Se debe proveer una adecuada supervisión al personal, en especial aquellos que están en formación obajo contrato, esta supervisión debe ser realizada por personas con conocimiento de las actividades,métodos, procedimientos, ensayos o calibraciones objeto de supervisión, de manera que se asegureque dicho personal es competente y que trabaja de acuerdo con los lineamientos de la organización.

NOTA 1: En algunas tareas técnicas, puede requerirse que el personal que realiza ciertas tareas posea una certificación. Laorganización es responsable del cumplimiento de los requisitos especificados para la certificación del personal. Losrequisitos para la certificación del personal pueden ser reglamentarios, estar incluidos en las normas para el campo técnicoespecífico, o ser requeridos por el cliente.

NOTA 2: Es conveniente que, además de las apropiadas calificaciones, la formación, la experiencia y un conocimientosuficiente del ensayo que lleva a cabo, el personal de los laboratorios, responsable de las opiniones y las interpretacionesincluidas en los informes de ensayo, tenga:

a) Un conocimiento de la tecnología utilizada para la fabricación de los materiales y/o productos, etc. ensayados, o

su modo de uso o de su uso previsto, así como de los defectos o degradaciones que puedan ocurrir durante elservicio.b) Un conocimiento de los requisitos generales expresados en la legislación y las normas; yc) Una comprensión de la importancia de las desviaciones halladas con respecto al uso normal de los materiales y/o

productos, etc. considerados.

Ecopetrol S.A. y sus subordinadas deben establecer prácticas definidas y aprobadas para elreclutamiento, selección, contratación, inducción, formación, promoción, compensación, evaluación deldesempeño, adopción de acciones correctivas y terminación del vínculo laboral. Estas prácticas debentransmitir mensajes a los colaboradores en relación con los comportamientos esperados, niveles deintegridad, conducta ética y competencia.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

26/93

Se deben realizar evaluaciones de desempeño periódicamente. Realizar comparaciones contra losobjetivos individuales derivados de las metas organizacionales, estándares establecidos yresponsabilidades específicas del puesto.

NOTA: Los traslados y ascensos impulsados por evaluaciones periódicas del rendimiento muestran el compromiso de laorganización con la promoción de sus colaboradores calificados. Un sistema competitivo de compensación sirve paramotivar y potenciar el rendimiento destacable y deberán estar estructurados y debidamente controlados. Es convenienteque la organización monitoree la aplicación de estas buenas prácticas en los trabajadores de sus contratistas.

2.3.1 COMPETENCIA Y FORMACIÓN


a) Determinar la competencia necesaria de los colaboradores, que realizan trabajos que afectan la

conformidad con los requisitos del producto y/o servicio, ensayos y/o calibraciones, aspectosambientales, la salud ocupacional y la seguridad industrial, la seguridad de la cadena desuministro, la seguridad de la información, la gestión de la continuidad del negocio. Se debeasegurar la coherencia de la estructura organizacional con las descripciones de cargo y lascompetencias.

b) Proporcionar formación o tomar otras acciones para lograr la competencia necesaria cuando serequiera, el programa de formación del personal de los laboratorios debe ser pertinente a lastareas presentes y futuras del laboratorio.

c) Evaluar la eficacia de las acciones tomadas para lograr la competencia necesaria.d) Mantener los registros apropiados de la educación, formación, habilidades y experiencia de los

colaboradores. (Véase 3.3.2).

e) La dirección de los laboratorios debe autorizar a miembros específicos del personal para realizartipos particulares de muestreos, ensayos y/o calibraciones, para emitir informes de ensayos ycertificados de calibración, para emitir opiniones e interpretaciones y para operar tiposparticulares de equipos. El laboratorio debe mantener registros de las autorizacionespertinentes (Véase 3.3.2), de la competencia, del nivel de estudios y de las calificacionesprofesionales, de la formación, de las habilidades y de la experiencia de todo el personaltécnico, incluido el personal contratado. Esta información debe estar fácilmente disponible ydebe incluir la fecha en la que se confirma la autorización y/o la competencia.

NOTA 1: Para el personal directivo, técnico y de apoyo clave involucrado en los ensayos y/o las calibraciones, lasdescripciones de los cargos como mínimo es conveniente que se defina lo siguiente:

a) Las responsabilidades con respecto a la realización de los ensayos y/o de las calibraciones.

b) Las responsabilidades con respecto a la planificación de los ensayos y/o de las calibraciones y a la evaluación delos resultados.c) Las responsabilidades para comunicar opiniones e interpretaciones.d) Las responsabilidades con respecto a la modificación de métodos y al desarrollo y validación de nuevos métodos;e) La especialización y la experiencia requeridas.f) Las calificaciones y los programas de formación.g) Las obligaciones de la dirección.

NOTA 2: Las unidades organizativas deberían desarrollar un inventario o matriz de las habilidades básicas necesarias paralograr un desempeño satisfactorio.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

27/93

NOTA 3: Es conveniente que la divulgación y entrenamiento propios de los documentos dependan de los dueños de los

procesos para los que aplican tales documentos.

2.3.2 PROGRAMAS DE FORMACIÓN

Ecopetrol S.A. y sus subordinadas deben identificar y analizar las necesidades de formación relacionadacon su SGCI e implementar programas que incluyan, entre otros aspectos:

a) Identificación de los grupos objetivo.b) Competencia y calificación de instructores,c) Identificación de formación inicial y continua.d) Frecuencias apropiadas de capacitación y entrenamiento,e) Mecanismos de aprendizaje eficientes y materiales de entrenamiento.f) Mecanismos de transferencia del conocimiento, (Véase 3.4.1)g) Mecanismos para la evaluación de la eficacia de la formación.

Se deben conservar registros relacionados con la asistencia y evaluaciones de formación. (Véase 3.3.2)Los procedimientos de formación deben tener en cuenta los diferentes niveles de responsabilidad,capacidad, habilidades de lenguaje y alfabetismo y riesgo de las actividades. Los resultados de laejecución de los programas de formación deben ser comunicados durante la revisión del SGCI por laAlta Dirección. (Véase 7.3.1)

Ecopetrol S.A. y sus subordinadas deben establecer mecanismos para monitorear y controlar elcumplimiento de los requisitos de competencia y formación en los trabajadores de contratistas. (Véase4.3.10)

NOTA 1: Se consideran mecanismos de aprendizaje eficientes, entre otros:

a) Capacitación en aula: la capacitación en el aula puede incluir capacitación formal dirigida por el instructor, videointeractivo, instrucción programada, y otros métodos de capacitación.

b) Capacitación de campo: complementa la capacitación en aula y muestra cómo y dónde.

c) Demostración de habilidades por el estudiante: da al estudiante una oportunidad de realizar una tarea dadapor el instructor, demostrando así su grado de entendimiento de la capacitación recibida.

NOTA 2: Cuando la organización requiera “certificar las competencias del personal”, debería incluir una combinación dediferentes métodos de evaluación (demostración de habilidades, concepto por parte de la unidad organizativa o línea denegocio de la idoneidad de la persona para desarrollar una tarea, etc.)

NOTA 3: Los programas de formación deberían considerar temas tales como procedimientos de respuesta ante emergenciae incidentes, valores corporativos, practicas seguras, entre otros.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

28/93

2.4 AMBIENTE Y RELACIONAMIENTO LABORALEl subelemento Ambiente y Relacionamiento laboral tiene como finalidad agrupar los lineamientos yrequisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.requeridos para la adecuada gestión de los procesos, relacionados con el respeto a los derechoshumanos incluyendo los derechos laborales, respeto por las personas, camaradería, credibilidad en lagente, confianza en los líderes, orgullo por el trabajo y la organización, para garantizar un ambientelaboral de excelencia y generar relaciones laborales confiables y sostenibles con trabajadores directos yvelar por el de los trabajadores de los contratistas para impactar positivamente los resultados deEcopetrol S.A.

Ecopetrol S.A. y sus subordinadas deben establecer mecanismos que aseguren:

a) El cumplimiento de las condiciones laborales de acuerdo con las leyes y regulaciones nacionales

y su coherencia con las normas laborales internacionales aplicables, incluyendo lasdisposiciones establecidas en los convenios colectivos y acuerdos laborales internos.b) Promover la estabilidad de empleo, igualdad de oportunidades, condiciones laborales

apropiadas para sus colaboradores directos e indirectos.c) Suministrar niveles salariales justos a sus colaboradores.d) Pagar de forma cumplida sus obligaciones salariales y pagar los salarios directamente a sus

colaboradores con las únicas restricciones o deducciones que permiten las leyes, regulaciones oconvenios colectivos.

e) Verificar que sus contratistas tengan condiciones salariales adecuadas para sus colaboradores yse dé cumplimiento a la jornada laboral máxima legal.

f) Cumplir con la jornada laboral máxima legal y controlar las horas de trabajo, incluidas las horasextras, de sus colaboradores tomando en cuenta los intereses, la seguridad y el bienestar de los

trabajadores involucrados y cualquier riesgo intrínseco al trabajo.g) Dar cumplimiento a los períodos de vacaciones de los colaboradores y hacer seguimiento ymanejo de los casos de acumulación de vacaciones.

h) Cumplir con las disposiciones legales en cuanto a protección social en salud.i) Monitorear, proteger y promover las condiciones de salud de sus colaboradores directos e

indirectos. j) El reconocimiento a los trabajadores por sus resultados o méritos en el trabajo y garantizar la

imparcialidad en la asignación de premios o reconocimientos.k) Aplicar las medidas disciplinarias a los trabajadores, de acuerdo con el tipo de desviación

cuando sea necesario.

NOTA: Los mecanismos pueden ir más allá del cumplimiento de la ley en estos aspectos y/o promover el respeto por lastradiciones y costumbres culturales o religiosas.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

29/93

2.5 CALIDAD DE VIDAEl subelemento Calidad de Vida tiene como finalidad agrupar los lineamientos y requisitos de lasreferencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos parala adecuada gestión de los procesos, relacionado con la satisfacción de las necesidades de bienestarfísico, mental y social de los trabajadores directos y sus familias y velar por el de los trabajadores decontratistas, que propenda a la conciliación entre la vida laboral y personal.

Ecopetrol S.A. y sus subordinadas deben establecer mecanismos para promover la conciliación entre lavida personal y laboral de sus colaboradores directos y la utilización de tiempo para la familia.

NOTA: Estos mecanismos pueden incluir por ejemplo permisos remunerados o no remunerados, adecuación de salidaspara temporadas navideñas.

Se debe suministrar la protección a la maternidad de sus colaboradoras, de acuerdo con la ley u otrasdisposiciones internas.

Ecopetrol S.A. y sus subordinadas deben establecer programas que contribuyan al bienestar ysatisfacción de las necesidades sociales, educativas y culturales de los colaboradores y sus familias.

NOTA: Estos programas pueden incluir actividades de recreación, culturales o deportivas y esquemas de beneficios comoplan educacional, préstamos para vivienda, subsidio familiar, seguro de vida, planes de ahorro, entre otros.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

30/93

3. INFORMACIÓN Y CONOCIMIENTO

El elemento Información y Conocimiento, agrupa, integra y correlaciona las normativas locales yestándares internacionales y los definidos por Ecopetrol, mediante las cuales se genera, estructura ymantiene la información. Se incorpora y asegura el conocimiento, transformándolos en activosestratégicos que estén a disposición de una comunidad de usuarios, garantice su seguridad, paraorientarlos a la toma de decisiones con el propósito de apalancar el cumplimiento del marco estratégicocorporativo.

3.1 CALIDAD DE LA INFORMACIÓNEl subelemento Calidad de la Información agrupa e integra las normativas locales y estándaresinternacionales y los definidos por Ecopetrol S.A., con el fin de establecer las responsabilidades,

principios, criterios, directrices y conductas para asegurar el adecuado tratamiento de los atributos decalidad de la información interna y externa, soportada o no en la tecnología de la información.

Ecopetrol S.A. y sus subordinadas deben asegurar que la información sea oportuna, completa,consistente, única y clasificada con el nivel de confidencialidad adecuado, por lo tanto deben:

a) Definir e implementar procedimientos para garantizar la calidad (unicidad, completitud,oportunidad, consistencia y confidencialidad) de toda la información contenida en formatoelectrónico y/o impreso.

b) Establecer y mantener mecanismos que permitan un adecuado tratamiento de la información demanera coherente con los flujos de información en los procesos.

c) Establecer responsabilidades claras sobre la calidad de la información y realizar periódicamenteevaluaciones de la misma.

d) Establecer tecnologías de información que faciliten la búsqueda, captura, procesamiento,análisis y reporte de la información relevante, interna o externa en un marco de tiempo y deforma que sean útiles para identificar, evaluar, responder a los riesgos (Véase 6.1) y controlarlas actividades de la organización. Los sistemas de información deben cambiar cuando secambien los objetivos o las necesidades de apoyo a estos. (Véase 1.1.5).

e) Integrar los informes de cualquier unidad organizativa sobre requerimientos legales,regulatorios y contractuales con las salidas similares provenientes de otras funciones de laorganización.

f) Asegurar que la presentación de informes y de los certificados respondan a cada tipo de ensayoo calibración efectuada, minimizando la posibilidad de la mala interpretación o mal uso. (Véase4.3.4)

NOTA 1: Es conveniente que la forma de presentar el informe de ensayo o certificado de calibración sea clara respecto a lapresentación de los datos para el lector y que los encabezados sean estandarizados, tanto como sea posible.

NOTA 2: La organización debería asegurar el flujo de la información adecuado, en la forma adecuada, al nivel de detalleadecuado, a las personas adecuadas y en el momento adecuado.

Ecopetrol y sus subordinadas deben establecer, implementar y mantener lineamientos yprocedimientos para la administración efectiva de las transacciones de información con los grupos deinterés. Los sistemas de información deben estar integrados con las operaciones, las transacciones sedeben registrar y seguir en tiempo real, permitiendo a la organización acceder inmediatamente a lainformación de forma más efectiva, para controlar las actividades de la organización.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

31/93

Asimismo, la información de los estados financieros debe ser razonable, clara, veraz, de fácil

entendimiento, comparable, pertinente, confiable, oportuna y debe ser emitida o reportada en tiemporeal.

NOTA: El procesamiento y la gestión de datos debería ser una responsabilidad compartida de las múltiples organizaciones.

3.2 SEGURIDAD DE LA INFORMACIÓNEl subelemento Seguridad de la Información agrupa e integra las normativas locales y estándaresinternacionales y los definidos en Ecopetrol S.A., con el fin de establecer las responsabilidades,

principios, criterios, directrices y conductas para asegurar el adecuado tratamiento de la informacióndentro de los lineamientos de ética y buen gobierno de la organización.

Ecopetrol S.A. y sus subordinadas deben asegurar un adecuado tratamiento de la información demanera coherente con los flujos de información en los procesos de negocio. Para lo cual debe:

a) Preservar la seguridad de los activos de información y disponer de los recursos necesarios paralograrlo.

b) Establecer que existan responsabilidades claramente asignadas en todos los niveles de laorganización, para la gestión de la seguridad de los activos de información (Véase 2.1.4)

c) Establecer un plan de seguridad de la información que incluya los requerimientos y riesgosteniendo en consideración la infraestructura de TI, la cultura de seguridad, los informes deentes de control internos y externos y las conclusiones de las actividades de monitoreo.

d) Realizar un inventario de toda la información sensible, así como de los activos dónde ésta sealmacena o procesa, asignándoles un responsable y clasificándolos de acuerdo con losrequerimientos en materia de seguridad de la información. Los responsables de la información

deben tomar las decisiones sobre la clasificación de la información y de los sistemas y sobrecómo protegerlos de acuerdo a esta clasificación.e) Establecer, a partir de esta clasificación los niveles de protección orientados a determinar, a

quién se le permite el manejo de la información, el nivel de acceso a la misma y losprocedimientos para su manipulación. La clasificación debe revisarse periódicamente y atendera los cambios que se presenten en la información o la estructura que puedan afectarla.

f) Establecer mecanismos de capacitación e información para los usuarios en materia de seguridadde la información (Véase 2.3.1), así como de reporte de incidentes que puedan afectarla.

g) Establecer instalaciones seguras para la gestión, almacenamiento y procesamiento de lainformación; éstas deben contar con protecciones físicas y ambientales acordes a los activosque protegen, incluyendo perímetros de seguridad, controles de acceso físicos, controlesespeciales en áreas de mayor sensibilidad, seguridad de los equipos, seguridad en el suministro

eléctrico y cableado, condiciones ambientales de operación y sistemas de contención, deteccióny extinción de incendios adecuados que preserven el medio ambiente. (Véase 5.2.2) Estaseguridad debe mantenerse en los momentos de mantenimiento, cuando la información o losequipos que la contienen deben salir de la organización o para retirar o dar de baja, para lo cualdeben existir procedimientos especiales.

h) Documentar los procedimientos y responsabilidades de administración y seguridad que seannecesarios en cada ambiente tecnológico y físico, garantizando un adecuado control de cambiosy el seguimiento a estándares de seguridad que deben definirse, así como el seguimiento a losincidentes de seguridad que puedan presentarse.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

32/93

i) Garantizar una adecuada planificación y aprobación de los sistemas de información que

consideren o provean las necesidades de capacidad futura. j) Considerar protecciones contra software malicioso y un adecuado mantenimiento y

administración de la red, así como un adecuado cuidado de los medios de almacenamiento yseguridad en el intercambio de información.

k) Establecer medidas de control de acceso a las unidades organizativas y a los diferentes nivelesde la plataforma tecnológica, tales como la red, sistema operativo y aplicaciones, así como a lainformación física que tenga un componente de seguridad. Los usuarios serán responsables derealizar un adecuado uso de las herramientas de seguridad que se ponen a su disposición.

l) Asegurar que se haga un adecuado análisis e implementación de los requerimientos deseguridad del software desde su diseño, ya sea interno o adquirido, que incluya garantías devalidación de usuarios y datos de entrada y salida, así como de los procesos mismos, deacuerdo con la clasificación de los activos a gestionar en la herramienta.(Véase 5.1.2)

m) Establecer uno o varios procedimiento(s) a seguir en caso de ocurrencia de incidentes queincluya, entre otros aspectos, mecanismos para cuantificar y monitorear los tipos, volúmenes ycostos de los incidentes en la seguridad de la información.

n) Establecer planes de continuidad para aquellos procesos críticos, considerando medidas tantotécnicas como administrativas y de vínculo con los grupos de interés pertinentes (Véase 4.4.2).

o) Dar cumplimiento a la legislación vigente analizando los requisitos legales aplicables a lainformación que se gestiona incluyendo los derechos de propiedad intelectual, los tiempos deretención de registros, privacidad de la información, uso inadecuado de recursos deprocesamiento de información, uso de criptografía y recolección de evidencias.(Véase 3.3.2)

NOTA: Se considera responsable de la información, la unidad organizativa o colaborador al que se le asigne uno o variosactivos de información que apoyarán al objeto de su negocio.

3.3 DOCUMENTACIÓNEl subelemento Documentación agrupa e integra las normativas locales y estándares internacionales ylos definidos en Ecopetrol S.A., con el fin de establecer los principios, lineamientos responsabilidades yconductas garantizando la trazabilidad en el ciclo de vida de la documentación, que sirva comoevidencia y prueba de la gestión de los procesos.

La documentación del SGCI debe incluir:

a) Declaración de la política integral de gestión, objetivos y metas.b) El manual del SGCI que incluya la descripción del alcance del SGCI (Véase 1.1.7).c) Los procedimientos documentados, y los registros requeridos por el SGCI.

d) Los documentos, incluidos los registros, requeridos por la organización para el cumplimiento desus funciones y que le permitan asegurarse de la eficaz planificación, operación y control de susprocesos.

e) Una descripción de la metodología de la identificación y valoración de riesgos y los registros derelacionados (véase 6.2.1).

f) La documentación de las bases de diseños de los procesos operacionales y equipos y estándarestécnicos, cuando aplique.

g) Planes de tratamiento a los riesgos, (véase 6.1.3)h) la declaración de aplicabilidad de los objetivos de control para la seguridad de la información,

(véase 6.2.1.3)





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

33/93

i) Registro(s) del suministro de recursos.

j) Registro(s) de la competencia y capacitación del personal.k) Descripción de la estructura de respuesta ante incidentes.l) La documentación que abarque aspectos relacionados con la continuidad del negocio

tales como: el análisis de impacto del negocio (BIA); la estrategia de continuidad denegocio, los planes de continuidad de negocio y de gestión de incidentes; pruebas de losplanes de continuidad, contingencia y emergencia; el mantenimiento y revisión de losacuerdos de la gestión de la continuidad del negocio.

m) Los resultados de la evaluación independiente.n) Los resultados de la revisión del SGCI por la Alta Dirección.o) Registro(s) de las acciones preventivas, correctivas y de mejora.

La documentación del SGCI debe ser comunicada al personal pertinente, debe ser comprendida por él,

debe estar a su disposición y debe ser implementada por él.

NOTA 1: Cuando aparece el término procedimiento documentado, significa que hay que establecer, documentar,implementar y mantener el procedimiento. Un solo documento puede incluir los requisitos para uno o más procedimientos.Un requisito relativo a un procedimiento documentado puede cubrirse con más de un documento.

NOTA 2: La extensión de la documentación del SGCI depende de:

a) El tamaño de la organización y el tipo de actividades,b) La complejidad de los procesos y sus interacciones, peligros y riesgos relacionados yc) La competencia del personal.

NOTA 3: La documentación puede estar en cualquier formato o tipo de medio.

NOTA 4: Cuando se trate de la emisión de estándares técnicos es conveniente conformar una instancia interdisciplinaria

(Comité), para la revisión y oficialización de los mismos.

NOTA 5: La organización debería asegurar y gestionar toda la documentación e información necesaria para prevenirincidentes y emergencias.

3.3.1 CONTROL DE DOCUMENTOS Y DATOS

Todos los documentos y datos que contienen información crítica para SGCI y desempeño de lasactividades de la organización deben identificarse y controlarse. Los registros son un tipo especial dedocumento y se deben controlar.

Se debe establecer, implementar y mantener uno o varios procedimientos documentados que definanlos controles necesarios para:

a) Aprobar los documentos, datos e información en cuanto a su adecuación antes de su emisión.b) Revisar y actualizar los documentos, datos e información por personal autorizado, cuando sea

necesario y aprobarlos nuevamente. Para los laboratorios, los cambios a los documentos debenser revisados y aprobados por la misma función que realizó la revisión original, a menos que sedesigne específicamente a otra función.

c) Asegurar que se identifican los cambios y el estado de versión vigente de los documentos, sedeben recibir las solicitudes de cambio de la documentación de acuerdo con los procedimientosde gestión y control de cambios (Véase 1.3.2).





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

34/93

d) Describir cómo se realizan y controlan las modificaciones de los documentos conservados en lossistemas informáticos. Cuando sea posible, se debe identificar el texto modificado o nuevo en eldocumento o en los anexos apropiados.

e) Asegurar que las versiones vigentes y pertinentes de los documentos, datos e informaciónaplicables se encuentran disponibles en los puntos de uso y que se apliquen los procedimientospertinentes, de acuerdo con su clasificación, para su transferencia, almacenamiento ydisposición final.

f) Asegurar que los documentos y datos permanecen legibles y fácilmente identificables; laidentificación de los documentos debe incluir la fecha de emisión y/o una identificación de laversión, la numeración de las páginas, el número total de páginas o una marca que indique elfinal del documento, y la o las personas autorizadas a emitirlos.

g) Asegurar que los documentos y datos de origen externo que la organización determina que sonnecesarios para la planificación y la operación del SGCI se identifican y que se controla sudistribución.

h) Asegurar que se controla la distribución de los documentos y datos del SGCI.i) Prevenir el uso no intencionado de documentos, datos e información obsoletos y aplicarles una

identificación adecuada en el caso de que se mantengan por cualquier razón, por ejemploaquellos retenidos por motivos legales o de preservación del conocimiento.

j) Ser identificados unívocamente,k) Asegurar que los documentos, datos e información que se encuentran en formato electrónico

tengan copia de seguridad adecuada y se puedan recuperar.

Se debe establecer una lista maestra de control de documentos que refleje los controles establecidos

para la documentación del SGCI.Ecopetrol S.A. y sus subordinadas deben asegurar que los documentos sean examinadosperiódicamente y, cuando sea necesario, modificados para asegurar la adecuación y el cumplimientocontinuos con los requisitos aplicables.

Para los laboratorios, si el sistema de control de los documentos permite modificar los documentos amano, hasta que se edite una nueva versión, se deben definir los procedimientos y las personasautorizadas para realizar tales modificaciones. Las modificaciones deben estar claramente identificadas,firmadas y fechadas. Un documento revisado debe ser editado nuevamente tan pronto como seaposible.

3.3.2 CONTROL DE LOS REGISTROS

Ecopetrol S.A. y sus subordinadas deben establecer y mantener registros, según sea necesario, parademostrar conformidad con los requisitos así como de la operación eficaz, eficiente y efectiva del SGCI,por tanto deben controlarse.

Se debe establecer, implementar y mantener un procedimiento documentado para definir los controlesnecesarios para la identificación, recopilación, codificación, acceso, almacenamiento, la protección, larecuperación, el tiempo de retención y la disposición de los registros.

Los registros deben ser legibles y se deben almacenar y conservar de modo que sean fácilmenteidentificables, trazables y recuperables, en instalaciones que le provean un ambiente adecuado para





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

35/93

prevenir los daños, el deterioro y las pérdidas. Se debe establecer el tiempo de retención de los

registros, consultando cuando sea apropiado con la autoridad legal pertinente, para determinar elperíodo de tiempo en que debe conservarse.

Los registros deben ser conservados en sitio seguro y en confidencialidad. Se deben tenerprocedimientos para proteger y salvaguardar los registros almacenados electrónicamente y paraprevenir el acceso no autorizado o la modificación de dichos registros.

NOTA: Los registros se pueden presentar sobre cualquier tipo de soporte, tal como papel o soporte informático.

Adicionalmente, los laboratorios deben conservar, por un período determinado, los registros de lasobservaciones originales de los datos derivados y de la información suficiente para establecer unprotocolo de control, los registros de calibración, los registros de personal y una copia de cada informede ensayos o certificado de calibración emitidos. Los registros correspondientes a cada ensayo o

calibración deben contener suficiente información para facilitar, cuando sea posible, la identificación delos factores que afectan a la incertidumbre y posibilitar que el ensayo o la calibración sea repetido bajocondiciones lo más cercanas posible a las originales. Los registros deben incluir la identidad delpersonal responsable del muestreo, de la realización de cada ensayo y/o calibración y de la verificaciónde los resultados.

Las observaciones, los datos y los cálculos se deben registrar en el momento de hacerlos y estarrelacionados con la operación en cuestión. Cuando se cometan errores en los registros, se debencorregir trazando una línea sobre el dato y escribiendo el valor correcto al lado, así como laidentificación de la persona que realiza la corrección. El dato errado nunca debe borrarse, hacerseilegible o suprimirse. En el caso de los registros guardados electrónicamente, se deben tomar medidassimilares para evitar la pérdida o cambio de los datos originales.

NOTA 1: En ciertas ocasiones. puede ser imposible o impracticable conservar los registros de todas las observacionesoriginales.

NOTA 2: Los registros técnicos son una acumulación de datos e información resultante de la realización de los ensayos y/ocalibraciones que indican si se alcanza la calidad o los parámetros especificados de los procesos. Pueden ser formularios,contratos, hojas de trabajo, manuales de trabajo, hojas de verificación, notas de trabajo, gráficos de control, informes deensayos y certificados de calibración externos e internos, notas, publicaciones y retroalimentación de los clientes.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

36/93

3.4 CONOCIMIENTO

El subelemento Conocimiento agrupa e integra las normativas locales y estándares internacionalesdefinidos en Ecopetrol S.A., que establecen las responsabilidades, principios, mecanismos y estrategias para la identificación, incorporación, aseguramiento y transferencia del conocimiento clave queapalanca la sostenibilidad de la operación y el crecimiento organizacional.

Ecopetrol S.A. y sus subordinadas deben establecer estrategias, procesos y prácticas de creación,captación, difusión, uso y explotación del conocimiento orientados a optimizar el desempeño de laorganización.

3.4.1 ASEGURAMIENTO DEL CONOCIMIENTO

Ecopetrol S.A. y sus subordinadas deben establecer mecanismos, métodos y herramientas queaseguren que el conocimiento necesario para lograr los objetivos corporativos se incorpore, afiance,asegure y mejore de manera permanente, para esto debe:

a) Identificar el conocimiento crítico o relevante.b) Planear su incorporación y/o aseguramiento.c) Acordar objetivos, alcance y cobertura de las prácticas clave.d) Desarrollar el alcance y especificaciones.e) Implementar las prácticas clave.f) Sostener y mejorar permanentemente las prácticas clave y… g) Usar las mejores prácticas de la industria como referencia al mejorar y adaptar las prácticas de

calidad de la organización.

Se deben establecer mecanismos para la medición de las iniciativas de aseguramiento del conocimientoestablecidas, que den información como mínimo del nivel de implementación y el impacto de lasmismas en el logro de los objetivos de la organización.

La organización debe establecer lineamientos, principios y/o comportamientos, programas, planes rolesy responsabilidades relacionadas con la gestión del conocimiento.

3.4.2 TRANSFERENCIA DEL CONOCIMIENTO

Ecopetrol S.A. y sus subordinadas deben establecer mecanismos para la transferencia delconocimiento, estos deben incluir como mínimo:

a) Planes de desarrollo, capacitación y entrenamiento.

b) Generación documentación de procesos y procedimientos.c) Identificación, documentación e incorporación de lecciones aprendidas de proyectos oactividades planeadas y de incidentes al interior de la organización.

d) Identificación y aplicación de lecciones aprendidas de las experiencias de otrasorganizaciones.

e) Desarrollo de habilidades en los colaboradores para que apoyen y mantengan los procesosde manera efectiva y eficiente de acuerdo con los niveles de servicio requeridos.

f) Identificación e incorporación de mejores prácticas a través de procesos de referenciación.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

37/93

4. OPERACIONES

El elemento Operaciones tiene como finalidad agrupar y correlacionar los lineamientos y requisitos delas referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. que orientanla planificación e implementación de todas las actividades para obtener productos y servicios quecumplan los requisitos técnicos, legales y reglamentarios y demás requerimientos de los grupos deinterés para el logro de los objetivos de la organización.4.1 REQUISITOS DEL CLIENTEEl subelemento Requerimientos del Cliente tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.relacionados con la identificación de los requerimientos de los clientes y la evaluación de la capacidadde la organización para cumplirlos y satisfacerlos.

4.1.1 ENFOQUE AL CLIENTE

La Alta Dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con elpropósito de asegurar y aumentar su satisfacción.

4.1.2 PROCESOS RELACIONADOS CON EL CLIENTE

Ecopetrol S.A. y sus subordinadas deben determinar:

a) Los requisitos relacionados con el producto y/o servicio, ensayos y/o calibraciones.b) Los requisitos especificados por el cliente, incluidos los requisitos para las actividades de entrega y

las posteriores.c) Los requisitos no establecidos por el cliente, pero necesarios para el uso especificado o para el uso

previsto, cuando sea conocido.d) Los requisitos legales y reglamentarios aplicables al producto y… e) Cualquier requisito adicional que la organización considere necesario.

NOTA: Los requisitos legales y reglamentarios o cualquier requisito adicional que la organización considere necesario,incluyen obligaciones contractuales como servicios de mantenimiento, servicios suplementarios y/o aquellos relacionadoscon aspectos ambientales, de seguridad industrial y salud ocupacional.

4.1.3 REVISIÓN DE LOS PEDIDOS, OFERTAS Y CONTRATOS

Ecopetrol S.A. y sus subordinadas deben establecer y mantener un(os) procedimiento(s) para larevisión de los pedidos, las ofertas y los contratos. Los lineamientos y los procedimientos para estasrevisiones, que den por resultado un contrato para la realización de un producto y/o servicio, ensayoy/o calibración deben asegurar que:

a) Los requisitos del cliente, incluidos los métodos a utilizar, están adecuadamente determinados,documentados y entendidos.b) La organización tiene la capacidad y los recursos para cumplir con los requisitos.c) se selecciona el método de ensayo y/o de calibración apropiado, que sea capaz de satisfacer los

requisitos de los clientes.

Esta revisión debe efectuarse antes de que la organización se comprometa a proporcionar al cliente unproducto y/o servicio, ensayo y/o calibración. Se debe informar al cliente de cualquier desviación conrespecto al contrato, si un contrato necesita ser modificado después de haber comenzado el trabajo, sedebe repetir el mismo proceso de revisión de contrato y se deben comunicar los cambios a todo el





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

38/93

personal afectado. La revisión también debe incluir cualquier trabajo que se contrate con terceros.

(Véase 4.3.10).

Cuando el cliente no proporcione una declaración documentada de los requisitos, la organización debeconfirmar los requisitos del cliente antes de la aceptación. Cuando se cambien los requisitos delproducto y/o servicio, ensayo y/o calibración, la organización debe asegurarse de que ladocumentación pertinente sea modificada y de que el personal correspondiente sea consciente de losrequisitos modificados.

Se deben conservar los registros de las revisiones, incluidas todas las modificaciones significativas y delas acciones originadas. También se deben conservar los registros de las comunicaciones mantenidascon los clientes relacionadas con sus requisitos o con los resultados del trabajo realizado durante elperíodo de ejecución del contrato. (Véase 3.3.2)

NOTA 1: Es conveniente que la revisión del pedido, la oferta y el contrato se lleve a cabo de manera práctica y eficaz y quese tenga en cuenta el efecto de los aspectos financieros, legales y de programación del tiempo.

NOTA 2: Es conveniente que la revisión de la capacidad determine que la organización posee los recursos físicos depersonal y de información necesarios y que el personal tiene las habilidades y la especialización necesarias para larealización de los productos y/o servicios, ensayos y/o de las calibraciones en cuestión. Para ensayos y/o calibraciones, larevisión puede también incluir los resultados de una participación anterior en comparaciones interlaboratorios o ensayosde aptitud y la realización de programas de ensayos o de calibraciones experimentales, utilizando muestras o ítems devalor conocido con el fin de determinar las incertidumbres de medición, los límites de detección, los límites de confianza,etc.

NOTA 3: Un contrato puede ser cualquier acuerdo oral o escrito que tenga por finalidad proporcionar productos y/oservicios, ensayos y/o de calibraciones a un cliente. También pueden utilizarse ANS (acuerdos de nivel de servicio) paradefinir los requisitos entre cliente y proveedor.

NOTA 4: En el caso de la revisión de tareas de rutina y otras tareas simples de los laboratorios, se consideran que essuficiente consignar la fecha y la identificación (por ejemplo las iniciales) de la persona de los laboratorios, responsable derealizar el trabajo contratado. En caso de tareas rutinarias repetitivas sólo es necesario hacer la revisión en la etapa inicialde consulta, y si se trata de un trabajo rutinario permanente, realizado según un acuerdo general con el cliente, al serotorgado el contrato, siempre que los requisitos del cliente no se modifiquen. En caso de tareas nuevas, complejas oavanzadas de ensayo y/o calibración, es conveniente mantener un registro más completo.

Los laboratorios deben estar dispuestos a cooperar con los clientes o sus representantes para aclarar elpedido del cliente y para realizar el seguimiento del desempeño de los laboratorios en relación con eltrabajo realizado, siempre que los laboratorios garanticen la confidencialidad hacia otros clientes. Sedebe establecer un acuerdo de previo con los clientes sobre el mecanismo que facilitará la prestaciónde servicios de laboratorio por parte de Ecopetrol S.A.

NOTA 1: Dicha cooperación, puede referirse a los aspectos siguientes:

a) Permitir al cliente o a sus representantes acceso razonable a las zonas pertinentes de los laboratorios parapresenciar los ensayos y/o calibraciones efectuados para el cliente.

b) b) La preparación, embalaje y despacho de los objetos sometidos a ensayo y/o calibración, que el clientenecesita con fines de verificación.

NOTA 2: Los clientes valoran el mantenimiento de una buena comunicación (Véase 1.4.2), el asesoramiento y los consejosde orden técnico, así como las opiniones e interpretaciones basadas en los resultados. Es conveniente mantener lacomunicación con el cliente durante todo el trabajo. Es conveniente que los laboratorios informe al cliente toda demora odesviación importante en la ejecución de los ensayos y/o calibraciones. (Véase 1.4.2)





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

39/93

4.2 PROYECTOS

El subelemento Proyectos tiene como finalidad agrupar los lineamientos y requisitos de las referenciasnormativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuadagestión de los procesos, relacionados con la formulación, planeación, ejecución y seguimiento deProyectos, que permitan la implementación de la estrategia de la organización.

Ecopetrol S.A. y sus subordinadas deben establecer y mantener lineamientos que definan el alcance ylos límites de la administración de proyectos, así como las metodologías a ser adoptadas y aplicadas encada proyecto emprendido. Los lineamientos deben garantizar la correcta asignación de prioridades y lacoordinación de todos los proyectos y debe incluir un plan maestro, asignación de recursos, definiciónde entregables, aprobación y compromiso de los interesados, un enfoque de entrega por fases, un plande aseguramiento de la calidad y un plan formal de pruebas, para garantizar la entrega de valor para elnegocio.

El enfoque dado a la administración de proyectos debe corresponder al tamaño, complejidad yrequerimientos regulatorios de cada proyecto y asegurar la inclusión de los lineamientos deadministración seguridad de procesos operacionales en el diseño y construcción de nuevas facilidades,modificaciones de estas, proyectos de adquisición o proyectos con socios.

Se debe establecer una estructura de gobierno de proyectos que incluya entre otros aspectos ladefinición de roles, responsabilidades, la rendición de cuentas y los criterios de evaluación deldesempeño del personal involucrado. (Véase 2.1)

La obtención de productos y servicios requeridos para cada proyecto se debe planear y administrarpara alcanzar los objetivos del proyecto, usando las prácticas de aprovisionamiento de la organización.(Véase 5.1)

Los proyectos emprendidos deben ser coherentes con el plan de inversión de la organización y serejecutados dentro del costo, tiempo y la calidad estimados, para contribuir al logro de las metas y losobjetivos estratégicos de la organización. (Véase 1.5)Se debe establecer, mantener e implementar un(os) procedimiento (s) que definan los requisitos para:

a) Determinar la viabilidad del proyecto en todos los aspectos que se consideren pertinentes.b) Definir y documentar la naturaleza y alcance del proyecto, teniendo en cuenta los requisitos

legales aplicables y otros que la organización suscriba.c) Aprobar el inicio de las etapas importantes del proyecto y comunicarlo a todos los interesados.d) Elaborar del plan integrado del proyecto para guiar la ejecución y el control del proyecto.e) Eliminar o minimizar los riesgos específicos asociados con los proyectos individuales por medio

de un proceso sistemático de planeación, identificación, análisis, respuesta, monitoreo y control

de las áreas o eventos que tengan el potencial de ocasionar cambios no deseados (Véase 6.1).f) Elaborar un plan de administración de la calidad que describa el sistema de calidad del proyectoy cómo será implantado. El plan debe ser revisado y acordado de manera formal por todas laspartes interesadas y ser incorporado en el plan integrado del proyecto.

g) Definir los métodos para la medición del desempeño, reporte y monitoreo del proyecto contralos criterios clave del proyecto. Las actividades de monitoreo deben proporcionar la seguridadde que los controles satisfacen los requerimientos definidos para identificar desviaciones conrespecto al plan y evaluar el impacto sobre el proyecto y reportar los resultados a losinteresados.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

40/93

h) El cierre del proyecto, de manera que las partes involucradas se cercioren de que el proyecto ha

proporcionado los resultados y los beneficios esperados.

Se debe establecer un sistema de control de cambios para los proyectos, de tal modo que todos loscambios a la línea base del proyecto (Ej. costos, cronograma, alcance y calidad) se revisen, aprueben eincorporen de manera apropiada al plan integrado del proyecto.

NOTA: El enfoque FEL (Front End Loading) utilizado para la planeación y ejecución de proyectos, reconocidos a nivel deindustria, como buenas prácticas, las mejores prácticas del PMI (Project Management Institute) y el Modelo de Maduracióny Gestión de proyectos de Ecopetrol S.A. (MMGP), pueden ser consultados a manera de orientación e incorporados para laoptimización de la Gestión de proyectos de la organización.

4.3 ACTIVIDADES, PRODUCTOS Y SERVICIOSEl subelemento Actividades, Productos y Servicios tiene como finalidad agrupar los lineamientos y

requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.relacionados con el establecimiento de las actividades y procesos necesarios para el normalfuncionamiento de las operaciones (directas y tercerizadas), el cumplimiento de la regulación y losrequisitos de los productos y servicios que permitan la implementación y el logro de los objetivos de laorganización.

4.3.1 PLANIFICACIÓN DE LA REALIZACIÓN DEL PRODUCTO O PRESTACIÓN DEL SERVICIO

Ecopetrol S.A. y sus subordinadas deben planificar y desarrollar los procesos necesarios para larealización del producto y/o la prestación del servicio. La planificación de la realización del producto y/oprestación del servicio debe ser coherente con los requisitos de los otros procesos del SGCI (véase1.1.3).

Durante la planificación de la realización del producto y/o prestación del servicio, la organización debedeterminar, cuando sea apropiado, lo siguiente:

a) Los objetivos de la calidad y los requisitos para el producto y/o servicio.b) La necesidad de establecer procesos y documentos y de proporcionar recursos específicos para

el producto y/o servicio.c) Las actividades requeridas de verificación, validación, monitoreo, medición, inspección y

ensayo/prueba específicas para el producto y/o servicio, así como los criterios para laaceptación.

d) Los registros que sean necesarios para proporcionar evidencia de que los procesos derealización del producto y/o prestación del servicio resultante cumplen los requisitos (Véase

3.3.2).e) la necesidad de gestionar y controlar los cambios surgidos por modificaciones en laimplementación de nuevas tecnologías, nuevos procesos, o por cambios físicos en lainfraestructura, en las condiciones de operación o en los procedimientos operacionales y demantenimiento. (véase 1.3.2)

f) los mecanismos para operar de manera segura, confiable y eficiente las instalaciones, unidadesde proceso y equipos.

El resultado de esta planificación debe documentarse de forma adecuada para la metodología deoperación de la organización.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

41/93

NOTA 1: Un documento que especifica los procesos del SGCI (incluidos los procesos de realización del producto) y los

recursos que se van a aplicar a un producto, proyecto o contrato específico puede denominarse plan de la calidad.NOTA 2: Los procesos necesarios para la realización del producto y/o la prestación del servicio pueden realizarse demanera directa o a través de terceros.

NOTA 3: Los mecanismos para operar de manera segura, confiable y eficiente, puede incluir entre otros aspectos: laentrega y recibo de turnos, permisos de trabajo, rondas estructuradas y cuidado básico de equipos, plan de aseguramientodel conocimiento, guías de control, ventanas operativas y de integridad.

4.3.2 CONTROL DE LA PRODUCCIÓN Y PRESTACIÓN DEL SERVICIO

Ecopetrol S.A. y sus subordinadas deben planificar y llevar a cabo la producción y la prestación delservicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable:

a) La disponibilidad de información que describa las características del producto y/o servicio.b) La disponibilidad de instrucciones de trabajo, cuando sea necesario.c) el uso del equipo apropiado.d) La disponibilidad y uso de equipos de seguimiento y medición.e) La implementación del seguimiento y de la medición.f) La implementación de actividades de liberación, aceptación, entrega y posteriores a la entrega

del producto y/o servicio y… g) Los riesgos de mayor probabilidad e impacto.h) La verificación del cumplimiento de procedimientos operacionales, prácticas seguras de trabajo

y mecanismos de integridad operativa en las instalaciones.

4.3.3 CONTROL DE LOS ENSAYOS Y/O CALIBRACIONES

Para llevar a cabo los ensayos y/o calibraciones, en los laboratorios se debe considerar, entre otrosaspectos, lo siguiente:

4.3.3.1 Selección de los métodos en los laboratorios

Los laboratorios deben utilizar los métodos de ensayos y/o calibración, incluidos los de muestreo, quesatisfagan las necesidades del cliente y que sean apropiados para los ensayos y/o las calibraciones querealiza. Se deben utilizar preferentemente los métodos publicados como normas internacionales,regionales o nacionales.

Cuando el cliente no especifique el método que va a utilizar, los laboratorios deben seleccionar los

métodos apropiados que hayan sido publicados en las normas internacionales, regionales o nacionales,por organizaciones técnicas reconocidas, o en libros o revistas científicas especializados o especificadospor el fabricante del equipo. También se pueden utilizar los métodos desarrollados por los laboratorioso los métodos adoptados por los laboratorios si son apropiados para el uso previsto y si han sidovalidados. El cliente debe ser informado del método elegido. Los laboratorios deben confirmar quepuede aplicar correctamente los métodos normalizados antes de utilizarlos para los ensayos o lascalibraciones. Si el método normalizado cambia, se debe repetir la confirmación.

Si el método propuesto por el cliente se considera inapropiado o desactualizado, los laboratorios debeninformárselo.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

42/93

4.3.3.2 Métodos de ensayo y de calibración

Los laboratorios deben aplicar métodos y procedimientos apropiados para todos los ensayos y/o lascalibraciones dentro de su alcance. Estos incluyen el muestreo, la manipulación el trasporte, elalmacenamiento y la preparación de los ítems que se van a ensayar y/o calibrar y, cuandocorresponda, la estimación de la incertidumbre de la medición así como técnicas estadísticas para elanálisis de los ensayos y/o de las calibraciones.

Los laboratorios deben tener instrucciones para el uso y el funcionamiento de todo el equipamientopertinente, y para la manipulación y la preparación de los ítems que se van a ensayar o calibrar, oambos, cuando la ausencia de tales instrucciones pudieran comprometer los resultados de los ensayosy/o las calibraciones. Todas las instrucciones, normas, manuales y datos de referenciacorrespondientes al trabajo de los laboratorios se deben mantener actualizados y deben estarfácilmente disponibles para el personal. Las desviaciones respecto de los métodos de ensayo y de

calibración deben ocurrir solamente si la desviación ha sido documentada, justificada técnicamente,autorizada y aceptada por el cliente.

NOTA 1: No es necesario anexar o volver a escribir bajo la forma de procedimientos internos las normas internacionales,regionales o nacionales u otras especificaciones reconocidas que contienen información suficiente y concisa para realizarlos ensayos y/o las calibraciones, si dichas normas están redactadas de forma tal que puedan ser utilizadas, como fueronpublicadas, por el personal operativo de un laboratorio. Puede ser necesario proveer documentación adicional para lospasos opcionales del método o para los detalles complementarios.

NOTA 2: Cuando los laboratorios opten por desarrollar nuevos métodos de ensayo y calibración para su propio uso o,cuando sea necesario utilizar métodos no normalizados, deben ser acordados con el cliente y deben haber sido validadosadecuadamente antes del uso.

a) Métodos desarrollados por los laboratorios

La introducción de los métodos de ensayos y de calibración desarrollados por los laboratorios para supropio uso debe ser una actividad planificada y debe ser asignada a personal calificado, provisto de losrecursos adecuados.

Los planes deben ser actualizados a medida que avanza el desarrollo y se debe asegurar unacomunicación eficaz entre todo el personal involucrado.

b) Métodos no normalizados

Cuando sea necesario utilizar métodos no normalizados, deben ser acordados con el cliente y debenincluir una especificación clara de los requisitos del cliente y del objetivo del ensayo y/o de lacalibración. El método desarrollado debe haber sido validado adecuadamente antes del uso.

NOTA: Para los métodos de ensayos y/o calibración nuevos, es conveniente elaborar procedimientos antes de la realizaciónde los ensayos y/o las calibraciones, las cuales deberían contener, como mínimo, la información siguiente:

a) Una identificación apropiada.b) El alcance.c) La descripción del tipo de ítem que se va a ensayar o a calibrar.d) Los parámetros o las magnitudes y los rangos a ser determinados.e) Los aparatos y equipos, incluidos los requisitos técnicos de funcionamiento.f) Los patrones de referencia y los materiales de referencia requeridos.g) Las condiciones ambientales requeridas y cualquier período de estabilización que sea necesario.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

43/93

h) La descripción del procesamiento, incluida la siguiente información:

1) La ubicación de las marcas de identificación, manipulación, transporte, almacenamiento y preparación delos ítems.

2) Las verificaciones que se van a realizar antes de comenzar el trabajo.3) La verificación del correcto funcionamiento de los equipos y, cuando corresponda, su calibración y ajuste

antes de cada uso.4) El método de los registros de las observaciones y de los resultados,5) Las medidas de seguridad que se van a observar.

i) Los criterios y/o requisitos para la aprobación o el rechazo. j) Los datos que van a ser registrados y el método de análisis y de presentación.k) La incertidumbre o el procedimiento para estimar la incertidumbre.

4.3.3.3 Estimación de la incertidumbre de la medición

Un laboratorio de calibración o un laboratorio de ensayo que realiza sus propias calibraciones, debentener y debe aplicar un procedimiento para estimar la incertidumbre de la medición para todas lascalibraciones y todos los tipos de calibraciones.

Los laboratorios de ensayo deben aplicar procedimientos para estimar la incertidumbre de la medición.En algunos casos, la naturaleza del método de ensayo puede excluir un cálculo riguroso,metrológicamente y estadísticamente válido de la incertidumbre de medición. En estos casos, loslaboratorios deben, por lo menos, tratar de identificar todos los componentes de la incertidumbre yhacer una estimación razonable basándose en un conocimiento del desempeño del método y en elalcance de la medición y debe hacer uso, por ejemplo, de la experiencia adquirida y de los datos devalidación anteriores.

NOTA 1: El grado de rigor requerido en una estimación de la incertidumbre de la medición depende de factores talescomo: los requisitos del método de ensayo, los requisitos del cliente y la existencia de límites estrechos en los que sebasan las decisiones sobre la conformidad con una especificación.

NOTA 2: En aquellos casos en los que un método de ensayo reconocido especifique límites para los valores de lasprincipales fuentes de incertidumbre de la medición y establezca la forma de presentación de los resultados calculados, seconsidera que los laboratorios ha satisfecho este requisito si sigue el método de ensayo y las instrucciones para informarde los resultados.Cuando se estima la incertidumbre de la medición, se deben tener en cuenta todos los componentes de la incertidumbreque sean de importancia en la situación dada, utilizando métodos apropiados de análisis.

NOTA 3: Las fuentes que contribuyen a la incertidumbre se representan, pero no se limitan a los patrones de referencia ylos materiales de referencia utilizados, los métodos y equipos utilizados, las condiciones ambientales, las propiedades y lacondición del ítem sometido al ensayo o la calibración y el operador.

4.3.3.4 Muestreo

Los laboratorios deben tener un plan y procedimientos para el muestreo cuando efectúen el muestreode sustancias, materiales o productos que luego ensayen o calibren. Los planes de muestreo deben,siempre que sea razonable, estar basados en métodos estadísticos apropiados. El proceso de muestreodebe tener en cuenta los factores que deben ser controlados para asegurar la validez de los resultadosde ensayo y de calibración.

Los laboratorios deben tener y aplicar procedimientos para registrar los datos y las operacionesrelacionados con el muestreo (cuando efectúen esta actividad de tomar muestras) que forman parte de





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

44/93

los ensayos o de las calibraciones que lleva a cabo. Estos registros deben incluir el procedimiento de

muestreo utilizado, la identificación de las personas que lo realizan, las condiciones ambientales (sicorresponde) y los diagramas u otros medios equivalentes para identificar el lugar de muestreo segúnsea necesario y, si fuera apropiado, las técnicas estadísticas en las que se basan los procedimientos demuestreo.

NOTA: Es conveniente que los procedimientos de muestreo describan el plan de muestreo, la forma de seleccionar, extraery preparar una o más muestras, a partir de una sustancia, un material o un producto para obtener la informaciónrequerida.

4.3.4 INFORMES DE ENSAYOS Y CERTIFICADOS DE CALIBRACIÓN

Los resultados de cada ensayo, calibración o serie de ensayos o calibraciones efectuados por loslaboratorios deben ser informados en forma exacta, clara, no ambigua y objetiva, de acuerdo con lasinstrucciones específicas de los métodos de ensayo o de calibración, en un informe de ensayo o un

certificado de calibración que debe incluir toda la información requerida por el cliente, necesaria para lainterpretación de los resultados del ensayo o de la calibración, así como toda la información requeridapor el método utilizado.

En el caso de ensayos o de calibraciones realizados para los clientes internos, o en el caso de unacuerdo escrito con el cliente, los resultados pueden ser informados en forma simplificada. Cualquierinformación que no forme parte de un informe al cliente, debe estar fácilmente disponible en ellaboratorio que efectúo el ensayo y/o las calibraciones.

4.3.4.1 Contenido de los informes de ensayo o certificado de calibración

Cada informe de ensayo o certificado de calibración, debe incluir la siguiente información, salvo que loslaboratorios tengan razones válidas para no hacerlo así:

a) Un título (por ejemplo, informe de ensayo o certificado de calibración).b) El nombre y la dirección de los laboratorios y el lugar donde se realizaron los ensayos y/o las

calibraciones, si fuera diferente de la dirección de los laboratorios.c) Una identificación única del informe de ensayo o del certificado de calibración (tal como el número

de serie) y, en cada página, una identificación para asegurar que la página es reconocida comoparte del informe de ensayo o del certificado de calibración, y una clara identificación del final deinforme de ensayo o del certificado de calibración.

d) El nombre y la dirección del cliente.e) La identificación del método utilizado.f) Una descripción, la condición y una identificación no ambigua del o de los ítems ensayados o

calibrados.g) La fecha de recepción del o de los ítems sometidos al ensayo o a la calibración, cuando sea esencial

para la validez y la aplicación de los resultados, y la fecha de ejecución del ensayo o la calibración.h) Una referencia al plan y a los procedimientos de muestreo utilizados por los laboratorios u otrosorganismos, cuando éstos sean pertinentes para la validez o la aplicación de los resultados.

i) Los resultados de los ensayos o las calibraciones con sus unidades de medida. j) El o los nombres, funciones y firmas o una identificación equivalente de la o las personas que

autorizan el informe de ensayo o el certificado de calibración.k) Cuando corresponda una declaración de que los resultados sólo están relacionados con los ítems

ensayados o calibrados.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

45/93

NOTA 1: Los informes de ensayo y los certificados de calibración pueden ser entregados como copia en papel o por

transferencia electrónica de datos. Es conveniente que las copias en papel de los informes de ensayo y certificados decalibración también incluyan el número de la página y el número total de páginas.

NOTA 2: Se recomienda a los laboratorios incluir una declaración indicando que no se debe reproducir el informe deensayo o el certificado de calibración, excepto en su totalidad, sin la aprobación escrita de los laboratorios.

Además de los requisitos indicados anteriormente, los informes de ensayos deben incluir, cuando seanecesario, lo siguiente:

l) Las desviaciones, adiciones o exclusiones del método de ensayo e información sobrecondiciones de ensayo específicas, tales como las condiciones ambientales.

m) Cuando corresponda una declaración sobre el cumplimiento o no cumplimiento con losrequisitos y/o las especificaciones.

n) Cuando sea aplicable, una declaración sobre la incertidumbre de medición estimada; lainformación sobre la incertidumbre es necesaria en los informes de ensayo cuando seapertinente para la validez o aplicación de los resultados de los ensayos, cuando así lo requieranlas instrucciones del cliente, o cuando la incertidumbre afecte al cumplimiento con los límites deuna especificación.

o) Cuando sea apropiado y necesario las opiniones e interpretaciones.p) La información adicional que pueda ser requerida por métodos específicos, clientes o grupos de

clientes.

Los informes de ensayo que contengan los resultados del muestreo, además de lo anteriormentemencionado deben incluir lo siguiente, cuando sea necesario para la interpretación de los resultados delos ensayos:

q) La fecha del muestreo.r) Una identificación inequívoca de la sustancia, el material o el producto muestreado (incluido el

nombre del fabricante, el modelo o el tipo de designación y los números de serie, segúncorresponda).

s) El lugar del muestreo incluido cualquier diagrama, croquis o fotografía.t) Una referencia al plan y a los procedimientos de muestreo utilizados.u) Los detalles de las condiciones ambientales durante el muestreo que puedan afectar a la

interpretación de los resultados del ensayo.v) Cualquier especificación sobre el método o el procedimiento de muestreo y las desviaciones,

adiciones o exclusiones de la especificación concerniente.

4.3.4.2 Requisitos adicionales para los certificados de calibración

Además de los requisitos indicados en el numeral anterior, los certificados de calibración deben incluir,cuando sea necesario para la interpretación de los resultados de la calibración, lo siguiente:

a) Las condiciones ambientales bajo las cuales fueron hechas las calibraciones y que tengan unainfluencia en los resultados de la medición.

b) La incertidumbre de la medición y/o una declaración de cumplimiento con una especificaciónmetrológica identificada o con sus partes.

c) Evidencia de que las mediciones son trazables.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

46/93

El certificado de calibración sólo debe estar relacionado con las magnitudes y los resultados de los

ensayos funcionales. Si se hace una declaración de cumplimiento con una especificación, debeidentificar los capítulos de la especificación que se cumplen y los que no se cumplen. Cuando se hagauna declaración de la conformidad, con una especificación de que se omiten los resultados de lamedición y las incertidumbres asociadas, los laboratorios deben registrar dichos resultados ymantenerlos para una posible referencia futura.

Cuando un instrumento para calibración ha sido ajustado o reparado, se deben informar los resultadosde la calibración antes y después del ajuste o la reparación, si estuvieran disponiblesUn certificado de calibración no debe contener ninguna recomendación sobre el intervalo de calibración,excepto que esto haya sido acordado con el cliente. Este requisito puede ser remplazado pordisposiciones legales.

4.3.4.3 Inclusión de Opiniones e interpretaciones en los informes de resultados

Cuando se incluyan opiniones e interpretaciones, los laboratorios deben asentar por escrito las basesque respaldan dichas opiniones e interpretaciones. Las opiniones e interpretaciones deben estarclaramente identificadas como tales en un informe de ensayo.

NOTA 1: Es conveniente no confundir las opiniones e interpretaciones con las especificaciones y las certificaciones deproducto. Las opiniones e interpretaciones incluidas en un informe de ensayo pueden consistir en, pero no limitarse a, losiguiente:

a) Una opinión sobre la declaración de la conformidad o no conformidad de los resultados con los requisitos.b) Cumplimiento con los requisitos contractuales.c) Recomendación sobre la forma de utilizar los resultados.d) Recomendación para seguir para las mejoras.e) Incumplimiento de requisitos legales y el impacto del incumplimiento.

NOTA 2: En muchos casos, podría ser apropiado comunicar las opiniones e interpretaciones a través del diálogo directo conel cliente. Es conveniente que dicho diálogo se registre por escrito.

4.3.4.4 Modificaciones a los informes de ensayo y a los certificados de calibración

Las modificaciones de fondo a un informe de ensayo o certificado de calibración después de su emisióndeben ser hechas solamente en la forma de un nuevo documento o de una transferencia de datos, queincluya la declaración: “Suplemento al informe de ensayo (o “Certificado de Calibración“), número deserie… [ u otra identificación]”, o una forma equivalente de redacción. Cuando sea necesario emitir unnuevo informe de ensayo o certificado de calibración completo, debe ser unívocamente identificado ydebe contener una referencia al original al que remplaza.

4.3.4.5 Resultados de ensayo y calibración obtenidos de terceros

Cuando el informe de ensayo contenga resultados de ensayos realizados por terceros, los resultadosdeben estar claramente identificados. El contratista debe informar sobre los resultados por escrito oelectrónicamente.

Cuando se haya subcontratado una calibración, los laboratorios que efectúan el trabajo deben remitir elcertificado de calibración al laboratorio que lo contrató.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

47/93

4.3.5 VALIDACIÓN DE LOS PROCESOS DE LA PRODUCCIÓN Y DE LA PRESTACIÓN DEL

SERVICIO

Ecopetrol S.A. y sus subordinadas deben validar todo proceso de producción y de prestación delservicio cuando los productos y/o servicios resultantes no pueden verificarse mediante seguimiento omedición posteriores y como consecuencia, las deficiencias aparecen únicamente después de que elproducto esté en uso o se haya prestado el servicio.

La validación debe demostrar la capacidad de estos procesos para alcanzar los resultados planificados.

La organización debe establecer las disposiciones para estos procesos, incluidos, cuando sea aplicable:

a) Los criterios definidos para la revisión y aprobación de los procesos.b) La aprobación de los equipos y la calificación de los colaboradores y/o particulares que trabajen

para Ecopetrol S.A. y sus subordinadas. ,c) El uso de métodos y procedimientos específicos.d) Los requisitos de los registros (Véase 3.3.2) ye) Las validaciones posteriores requeridas (revalidación).

4.3.6 VALIDACIÓN DE LOS MÉTODOS DE LABORATORIO

Los laboratorios deben validar los métodos no normalizados, los métodos que diseña o desarrolla, losmétodos normalizados empleados fuera del alcance previsto, así como las aplicaciones y modificacionesde los métodos normalizados, para confirmar que los métodos son aptos para el fin previsto.

La validación debe ser tan amplia como sea necesario para satisfacer las necesidades del tipo deaplicación o del campo de aplicación dados. Los laboratorios deben registrar los resultados obtenidos, elprocedimiento utilizado para la validación y una declaración sobre la aptitud del método para el usoprevisto. La gama y la exactitud de los valores que se obtienen empleando método validados debenresponder a las necesidades de los clientes.

NOTA 1: La validación puede incluir los procedimientos para el muestreo, la manipulación y el transporte, la especificaciónde los requisitos, la determinación de las características de los métodos, una verificación de que los requisitos puedensatisfacerse utilizando el método, y una declaración sobre la validez.

NOTA 2: Es conveniente utilizar una o varias de las técnicas siguientes para la determinación del desempeño de unmétodo:

a) Calibración para utilizar patrones de referencia o materiales de referencia.b) Comparación con resultados obtenidos con otros métodos.c) Comparación interlaboratorios.d) Evaluación sistemática de los factores que influyen en el resultado.e) Evaluación de la incertidumbre de los resultados basada en el conocimiento científico de los principios teóricos del

método y en la experiencia práctica.

NOTA 3: Cuando se introduzca algún cambio en los métodos no normalizados validados, es conveniente que se documentela influencia de dichos cambios y, si correspondiera, se realice una nueva validación.

4.3.7

IDENTIFICACIÓN Y TRAZABILIDAD

Ecopetrol S.A. y sus subordinadas deben identificar el producto y/o servicio por medios adecuados, através de toda la realización del producto y/o prestación del servicio.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

48/93

Se debe identificar el estado del producto y/o servicio, con respecto a los requisitos de seguimiento y

medición a través de toda la realización del producto o la prestación del servicio.

Cuando la trazabilidad sea un requisito, la organización debe controlar y registrar la identificación únicadel producto y/o servicio y mantener registros (Véase 3.3.2).

Para el caso de los laboratorios, se debe tener un sistema para la identificación de los ítems de ensayoy/o de calibración. La identificación debe conservarse durante la permanencia del ítem en loslaboratorios. El sistema debe ser diseñado y operado de modo tal que asegure que los ítems no puedanser confundidos físicamente ni cuando se haga referencia a ellos en registros u otros documentos.Cuando corresponda, el sistema debe prever una subdivisión en grupos de ítems y la transferencia delos ítems dentro y desde los laboratorios.

4.3.8 PROPIEDAD DEL CLIENTE

Ecopetrol S.A. y sus subordinadas deben cuidar los bienes que son propiedad del cliente mientras esténbajo su control o los esté usando. La organización debe identificar, verificar, proteger y salvaguardarlos bienes que son propiedad del cliente suministrados para su utilización o incorporación dentro delproducto y/o servicio. Si cualquier bien que sea propiedad del cliente se pierde, deteriora o de algúnotro modo se considera inadecuado para su uso, la organización debe informar de ello al cliente ymantener registros (3.3.2).

En el caso de los laboratorios, cuando se recibe un ítem de ensayo o calibración que se considereinadecuado para su uso se deben registrar las anomalías o los desvíos en relación con las condicionesnormales o especificadas, según se describen en el correspondiente método de ensayo o de calibración.Cuando exista cualquier duda respecto a la adecuación de un ítem para un ensayo o una calibración, ocuando un ítem no cumpla con la descripción provista, o el ensayo o la calibración requerida no esté

especificado con suficiente detalle, los laboratorios debe solicitar al cliente instrucciones adicionalesantes de proceder y debe registrar lo tratado.

NOTA: Es recomendable que los aspectos relacionados con la propiedad del cliente se reglamenten a través de acuerdos,contratos o documentos.

4.3.9 PRESERVACIÓN DEL PRODUCTO Y/O SERVICIO

Ecopetrol S.A. y sus subordinadas deben preservar el producto y/o servicio durante el proceso interno yla entrega al destino previsto para mantener la conformidad con los requisitos. Esta preservación debeincluir, según sea aplicable, la identificación, manipulación, embalaje, almacenamiento y protección. Lapreservación debe aplicarse también, a las partes constitutivas de un productoy/o servicio.

Adicionalmente, los laboratorios debe tener procedimientos para:

a) El transporte, la recepción, la manipulación, la protección, el almacenamiento, la conservacióny/o la disposición final de los ítems de ensayo y/o de calibración, incluidas todas lasdisposiciones necesarias para proteger la integridad del ítem de ensayo o de calibración, asícomo los intereses de los laboratorios y del cliente.

b) Almacenamiento de los reactivos y materiales consumibles del laboratorio que se necesitenpara los ensayos y calibraciones.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

49/93

c) Evitar el deterioro, la pérdida o el daño del ítem de ensayo o de calibración durante el

almacenamiento, la manipulación y la preparación, lo cual incluye contar con instalacionesapropiadas.

Se deben seguir las instrucciones para la manipulación provistas con el ítem. Cuando los ítems debanser almacenados o acondicionados bajo condiciones ambientales especificadas, debe realizarse elmantenimiento, seguimiento y registro de estas condiciones. Cuando un ítem o una parte de un ítempara ensayo o calibración deban mantenerse seguro, los laboratorios deben tener disposiciones para elalmacenamiento y la seguridad que protejan la condición e integridad del ítem o de las partes encuestión.

NOTA 1: Cuando los ítems de ensayos tengan que ser devueltos al servicio después del ensayo, se debe poner un cuidadoespecial para asegurarse de que no son dañados ni deteriorados durante los procesos de manipulación, ensayo,almacenamiento o espera.

NOTA 2: Es recomendable proporcionar a todos aquellos responsables de extraer y transportar las muestras, unprocedimiento de muestreo, así como información sobre el almacenamiento y el transporte de las muestras, incluidainformación sobre los factores de muestreo que influyen en el resultado del ensayo o de la calibración.

NOTA 3: Los motivos para conservar en forma segura un ítem de ensayo o de calibración pueden ser por razones deregistro, protección o valor o para permitir realizar posteriormente ensayos y/o calibraciones complementarios.

4.3.10 CONTROL DE LAS OPERACIONES TERCERIZADAS

Ecopetrol S.A. y sus subordinadas deben asegurarse de controlar los procesos entregados a terceros. Eltipo y grado de control por aplicar sobre los procesos entregados a terceros, debe estar definido dentrodel SGCI. Cuando existan disposiciones regulatorias, expedidas por una autoridad competente,

relativas al control de procesos entregados a terceros, la organización deberá ceñirse a estasdisposiciones.

Se debe desarrollar un plan de comunicaciones (Véase 1.4.2) acordado con los terceros, con el fin deasegurar que se conozcan la estructura de roles y responsabilidades hasta el nivel mínimo de lostrabajadores del contratista.

Cuando se contrate un trabajo (productos, servicios, ensayos y/o calibraciones) a terceros, ya seadebido a circunstancias no previstas o en forma continua, se debe encargar este trabajo a un tercerocompetente. La organización debe advertir al cliente, por escrito, sobre el acuerdo y, cuandocorresponda, obtener la aprobación del cliente, preferentemente por escrito.

Se debe establecer e implementar lineamientos para controlar las actividades realizadas por terceros,

que incluya:a) definición de roles, responsabilidades y expectativas en los acuerdos con los terceros,b) la revisión y monitoreo de la efectividad y cumplimiento de los requerimientos legales y

regulatorios, acuerdos y obligaciones contractuales.

La organización debe asegurar el cumplimiento de todas las obligaciones y acuerdos definidos,incluyendo aspectos laborales, técnicos, de seguridad industrial, seguridad de procesos operacionales,salud ocupacional, medioambiente y financieros por parte de los contratistas y/o proveedores antes deingresar a las instalaciones y/o desarrollar actividades para la organización. Así mismo se debe





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

50/93

informar a los contratistas y/o proveedores las reglas y procedimientos de la organización y el potencial

de los riesgos específicos de las instalaciones donde será ejecutado el trabajo.

NOTA 1: El tipo y el grado de control por aplicar al proceso entregado a terceros puede estar influenciado por factorestales como:

a) El impacto potencial del proceso entregado a terceros sobre la capacidad de la organización para proporcionarproductos y/o servicios conformes con los requisitos y para cumplir los requisitos del SGCI,

b) El grado en el que se comparte el control sobre el proceso.c) La capacidad para conseguir el control necesario

NOTA 2: Asegurar el control sobre los procesos entregados a terceros no exime a la organización de la responsabilidad deadministrar los riesgos correspondientes y de cumplir con todos los requisitos del cliente, los legales aplicables y los delSGCI.

4.4 CONTINUIDAD DE LOS PROCESOS

El subelemento Continuidad de los Procesos tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridosen la planeación, ejecución y seguimiento de las actividades para predecir, prevenir, mitigar y atenderinterrupciones de los procesos y retornarlos a su normal funcionamiento, permitiendo el logro de losobjetivos de la organización.

Ecopetrol S.A. y sus subordinadas deben establecer lineamientos y métodos apropiados paradeterminar, analizar y tomar acciones ante el impacto de cualquier alteración en los procesos, lainfraestructura, el medio ambiente y las personas. Estos métodos deben permitir la reanudación de losprocesos clave y la preparación a la organización para responder ante una emergencia o incidente.

Estos métodos deben incluir:

a) Identificación de procesos clave.b) Identificación de los impactos que resulten de la alteración de estos procesos y determinar el

modo en el que estos varíen con el tiempo.c) Establecimiento del período máximo tolerable de alteración, para cada proceso por medio de la

identificación de:1) Período de tiempo máximo después del inicio de una alteración, dentro del cual debereanudarse cada actividad.2) Nivel mínimo al que necesita ejecutarse cada actividad al ser reanudada.3) Tiempo que se necesita para reanudar los niveles normales de operación.

d) Categorizar sus procesos según la prioridad para la reactivación e identificar sus actividadesmás importantes.

e) Identificación de todas las dependencias relevantes para las actividades más importantes,

incluidos a los terceros;f) Para el caso de terceros de quienes dependan procesos y actividades vitales, determinar los

acuerdos de gestión de la continuidad del negocio (BCM) qué estarán vigentes para losproductos y servicios relevantes que provean.

g) Establecimiento de tiempos límite de reactivación para la reanudación de los procesos clave,dentro de su período máximo tolerable de alteración.

h) Estimación de los recursos que cada proceso requerirá para su reanudación.i) Procedimientos para la preparación y respuesta ante emergencias e incidentes.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

51/93

NOTA: El resultado de este análisis se denomina Análisis del Impacto del negocio (BIA).

Los análisis del impacto del negocio (BIA) se deben revisar a intervalos planificados.

4.4.1 ESTRATEGIA PARA LA CONTINUIDAD DE LOS PROCESOS

Ecopetrol S.A. y sus subordinadas deben determinar la estrategia para la continuidad de los procesos,que incluya:

a) Una estructura de respuesta ante incidentes, predefinida y documentada acorde con losobjetivos y los acuerdos de la gestión de la continuidad del negocio que facilite una respuestaefectiva y la reanudación de actividades después de cualquier alteración,

b) Planes, procesos y procedimientos para la activación, operación, coordinación y comunicaciónde la respuesta al incidente.

c) Determinar la manera en la que se recuperará cada proceso crítico dentro de su tiempo objetivode recuperación y los recursos requeridos para reasumir las funciones y los productosproporcionados por terceros.

d) El manejo de relaciones con los grupos de interés y las partes externas involucradas en lareiniciación.

e) El aprovisionamiento de los recursos necesarios para llevar a cabo las estrategias definidas.(Véase 1.5).

NOTA: La estrategia de continuidad del negocio está basada en los resultados del análisis de impacto del negocio (BIA) y lavaloración de riesgos (Véase 6.1.2).

Ecopetrol S.A. y sus subordinadas deben definir la estructura de respuesta ante incidentes que incluya:

f) Disponer de personal para confirmar la naturaleza y extensión de un incidente, activar unarespuesta apropiada de continuidad de negocio y comunicarse con los grupos de interés.

g) Planes, procesos y procedimientos para la activación, operación, coordinación y comunicaciónde la respuesta al incidente.

h) Los recursos que respalden los planes, procesos y procedimientos para gestionar un incidente.

4.4.2

PLANES DE CONTINUIDAD DEL NEGOCIO

Según la estrategia para la continuidad del negocio, se deben estructurar planes de continuidad de losprocesos y de gestión de incidentes, los cuales deben:

a) Tener un propósito y alcance definidos, ser accesibles y comprendidos por quienes lo utilizarán,ser dirigido(s) por una(s) persona(s) designada(s) que será(n) responsable(s) de su revisión,actualización y aprobación, estar en línea con acuerdos de contingencia relevantes externos a laorganización.

Los planes deben contener de manera colectiva:

b) Líneas de comunicación identificadas,





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

52/93

c) Tareas clave e información de referencia.

d) Funciones y responsabilidades definidas para las personas y equipos con autoridad durante ydespués del incidente.

e) Lineamientos y criterios en cuanto a qué personas tienen autoridad para recurrir a cada plan ybajo qué circunstancias.

f) El mecanismo mediante el cual se activará cada plan.g) Puntos de encuentro con alternativas y detalles de contacto y movilidad actualizados respecto a

las agencias, organizaciones y recursos pertinentes que puedan ser requeridos para respaldar larespuesta.

h) Un proceso para dar fin al estado de alerta, una vez termine el incidente.i) Una referencia a los detalles de contacto esenciales para todos los principales grupos de interés.

j) Detalles para manejar las consecuencias inmediatas de una alteración del negocio prestandodebida atención al bienestar de los individuos, las opciones estratégicas y operacionales pararesponder a la alteración y la prevención de pérdidas adicionales o la inaccesibilidad deactividades críticas.

k) Detalles para el manejo de un incidente, que incluyan previsiones para el manejo de problemasdurante un incidente y procesos para permitir la continuidad y la reiniciación de las actividadescríticas.

l) Detalles sobre la manera y las circunstancias bajo las cuales la organización se comunicará conlos empleados y sus familiares, las principales partes interesadas y los contactos deemergencia.

m) Detalles sobre el plan de comunicaciones del incidente, lineamientos para redactar unadeclaración para los medios y portavoces indicados, incluido un plan de manejo de crisis que seactivará para informar y responder ante cualquier emergencia o incidente.(Véase 1.4.2)

n) Un método para registrar la información clave sobre el incidente, las acciones y las decisionestomadas.

o) Detalles de las acciones y tareas que necesitan ejecutarse.p) Detalles de los recursos requeridos para la continuidad de negocio y la reiniciación del negocio

en diferentes momentos.q) Objetivos priorizados en términos de las actividades críticas a ser reiniciadas, las escalas de

tiempo en las que deben reiniciarse, y los niveles de reiniciación necesarios para cada actividadcrítica.

La organización debe garantizar que los planes de continuidad del negocio sean validados y que semantengan actualizados, para lo cual debe:

r) Asignar un responsable de la validación de los planes, mediante pruebas y ejercicios diseñadosteniendo en cuenta cambios, rotación del personal, incidentes reales, lecciones aprendidas yresultados de ejercicios anteriores.

s) Desarrollar pruebas que sean consistentes con el alcance de la gestión de la continuidad delnegocio.

t) Tener un plan de pruebas aprobado por la Alta Dirección para garantizar que las pruebas serealicen a intervalos planificados y cuando se produzcan cambios significativos.

u) Llevar a cabo una variedad de pruebas diferentes que en conjunto validen la totalidad de susplanes de continuidad de negocio.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

53/93

v) Planificar pruebas de modo que se minimice el riesgo de que ocurra un incidente como

resultado directo de la prueba.w) Definir las metas y objetivos de cada prueba.x) Adelantar una revisión de cada prueba, posterior a la misma, que evaluará la consecución de

las metas y objetivos de la prueba.y) Planificar ejercicios basados en escenarios realistas que han sido cuidadosamente acordados

con los grupos de interés y que correspondan con los eventos identificados en la evaluación delriesgo y en la Evaluación del Impacto (BIA).

z) Generar un reporte escrito del desempeño de la prueba, el resultado y la retroalimentación, queincluya las acciones requeridas.

Se deben mantener todos los registros relacionados con los planes de continuidad de negocio(véase 3.3.2).

NOTA1: Los planes de continuidad de negocio se estructuran solo para aquellos procesos que se han determinadocomo claves en el análisis de impacto del negocio (BIA).

NOTA 2: Las pruebas de los planes de continuidad de negocio pueden incluir ejercicios o escenarios que anticipanun resultado predeterminado, simulaciones y ejercicios completos de funcionamiento.

4.4.3 PREPARACIÓN Y RESPUESTA ANTE INCIDENTES Y EMERGENCIAS

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener un(os) planes yprocedimiento(s) para:

a) Identificar el potencial de incidentes y emergencias, que puedan tener efectos negativos en laspersonas, el medio ambiente, la información, la infraestructura, las actividades, productos yservicios.

b) Planificar la respuesta ante incidentes y emergencias según las necesidades de los grupos deinterés pertinentes y la disposición de cualquier equipo, instalaciones o servicios identificadosque puedan requerirse durante o después de los incidentes o situaciones de emergencia.

c) Responder a situaciones de incidentes y emergencias reales y prevenir o mitigar efectosadversos, para evitar que el incidente escale a una situación de crisis.

d) Probar periódicamente su(s) plan(es) y procedimiento(s) de respuesta ante situaciones deincidentes y emergencias, y en donde sea factible, involucrar los grupos de interéspertinentes.

e) Realizar pruebas periódicas que garanticen que los equipos o sistemas asociados a la respuestaa emergencias se encuentren aptos para el tipo de incidentes o emergencias asociado.f) Modificar y/o actualizar el (los) plan (es) y el (los) procedimiento (s) de ser necesario, en

particular, después de realizar pruebas periódicas y después que se han presentado situacionesde incidentes y emergencias o cuando se declare que un incidente ha escalado a situación decrisis.

g) La coordinación con entes externos y comunidades del área de influencia, teniendo en cuenta elrelacionamiento con los grupos de interés. (Véase 1.4).





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

54/93

h) Asegurar que se cuente con la capacidad mínima de respuesta ante situaciones de incidentes o

emergencias en cada instalación en cuanto a equipos, medios de transporte y personal.i) Mantener registros de los incidentes o emergencias ocurridas. (Véase 3.3.2)

Ecopetrol S.A. y sus subordinadas deben determinar, establecer y documentar acuerdos de ayuda oasistencia mutua con los grupos de interés que considere pertinentes, como un medio para la gestiónde los recursos, instalaciones, servicios y otros apoyos necesarios durante un incidente.

Nota 1. El término acuerdo de ayuda/asistencia mutua, usado aquí, incluye acuerdos cooperativos de asistencia,convenios intergubernamentales, u otros términos usados comúnmente para compartir recursos. La Organización puedeser parte de un acuerdo de ayuda/asistencia mutua con otras organizaciones de las que espera recibir, o a las que esperaproporcionar, asistencia durante un incidente. Estos acuerdos normalmente incluyen entidades vecinas o cercanas, asícomo organizaciones relevantes del sector privado y organizaciones no gubernamentales.

NOTA 2: Una condición inestable que implica un cambio significativo o abrupto que requiere una atención o acción urgentepara proteger la vida, los activos, la propiedad o el medio ambiente puede denominarse “Crisis”.

NOTA 3: Es responsabilidad de la organización desarrollar procedimientos de prevención, preparación y respuesta a incidentes, quesatisfagan sus necesidades particulares. En el desarrollo de los procedimientos, conviene considerar entre otros aspectos, los siguientes:

1. La naturaleza de los riesgos del sitio (por ejemplo, los materiales inflamables y tóxicos, tanques dealmacenamiento y gases comprimidos), o de los alrededores y las medidas que deben adoptarse en caso deincidentes.

2. El tipo de incidente más probable y su escala;3. El método(s) más apropiado(s) para la mitigación y respuesta de emergencia a un incidente para evitar su

escalamiento en una crisis o desastre;4. La necesidad de proceso para la evaluación posterior al evento para establecer y aplicar acciones correctivas y

preventivas;5. Acciones para proteger a las personas (incluyendo aquellas con necesidades especiales), a la propiedad, las

operaciones, y el medio ambiente y para proporcionar estabilización del incidente6. Pruebas periódicas de los planes y procedimientos para la gestión de incidentes y emergencias.7. La capacitación del personal de respuesta a incidentes y emergencias;8. Una lista de personal clave y agencias de ayuda, incluyendo datos de contacto (por ejemplo, el departamento de

bomberos, servicios médicos de emergencia, la policía, servicios de limpieza de materiales peligrosos);9. Rutas de evacuación y puntos de montaje que incluyen listas de personal y datos de contacto;10. Acciones a tomar ante la posibilidad que un incidente o una situación de emergencia afecte infraestructuras

críticas (por ejemplo, electricidad, agua, comunicaciones, transporte);11. La posibilidad de asistencia mutua con los grupos de interés.12. Acciones necesarios para recuperar cada actividad crítica dentro de los tiempos establecidos recuperación

objetivo y los recursos que requieren para su recuperación13. Asignación de responsabilidades para la realización de acciones específicas en una emergencia14. Lineamientos para la administración de recursos y de las donaciones15. La opción de establecer centros primarios y alternos de operaciones de emergencia con la capacidad de manejar

operaciones de respuesta, continuidad y recuperación16. Estructura predefinida de cadena de comando, centro(s) de operación de emergencia, y/o lugar(es) de trabajo

alternativo(s);17. Autoridad para declarar una situación de emergencia, iniciar los procedimientos de emergencia, activar los planesy acciones, evaluar los daños y tomar decisiones financieras;

18. Planes de comunicación internos y externos, incluida la notificación a las autoridades competentes y partesinteresadas;

19. Acciones para proporcionar atención médica adecuada;20. La acción(es) necesaria(s) para asegurar la información vital, los sistemas de información, servicios y personas





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

55/93

5. RECURSOSEl elemento Recursos tiene como finalidad agrupar y correlacionar los lineamientos y requisitos de lasreferencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., que orientan laidentificación, gestión y optimización del uso de los recursos necesarios para la continuidad delnegocio.Nota: El elemento Recursos abarca servicios, inventarios, propiedad, planta y equipos. 5.1 APROVISIONAMIENTO DE RECURSOSEl subelemento Aprovisionamiento de Recursos tiene como finalidad agrupar los lineamientos yrequisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.,requeridos para la adecuada gestión de los procesos, relacionados con la identificación, planeación,adquisición, verificación, registro, almacenamiento, custodia, preservación, instalación y entrega derecursos incluida selección y evaluación del desempeño de los proveedores para asegurar laconfiabilidad operacional a un costo óptimo.

5.1.1 PLANEACIÓN PARA EL APROVISIONAMIENTO DE RECURSOS

Ecopetrol S.A. y sus subordinadas deben asegurar que el aprovisionamiento obedezca a una planeaciónprevia de los recursos necesitados para llevar a cabo la operación de los procesos y los proyectos.

Ecopetrol S.A. y sus subordinadas deben implementar lineamientos y procedimientos para:

a) La compra, recepción y almacenamiento de productos, servicios, suministros, incluidos losreactivos y materiales consumibles que se necesiten para los ensayos y las calibraciones.

b) La adquisición, puesta en marcha, mantenimiento (Véase 5.2) y actualización de lainfraestructura tecnológica y software aplicativo.

c) Asegurar que los productos y/o servicios adquiridos cumplen con los requisitos especificados enlos pliegos de condiciones o en las disposiciones aplicables.

d) Asegurar que los productos, incluidos los equipos, son fabricados de acuerdo con laespecificación de diseño, entregados en la ubicación apropiada y ensamblados e instaladosapropiadamente.

e) Formalizar la gestión con proveedores.

Los procedimientos deben incluir, como mínimo responsabilidades y obligaciones legales, de seguridadindustrial, seguridad de procesos operacionales, de continuidad del negocio, salud ocupacional ymedioambiente, financieras, organizacionales, documentales, de desempeño, y de propiedad intelectualy cláusulas de penalización, según aplique.

Todos los modelos estándares de contratos, sus correspondientes minutas, y las modificaciones a estosestándares se deben revisar por asesores legales.

NOTA 1: Cuando se requiera utilizar contratos o minutas no estándares, se deberá contar con el visto bueno del asesorlegar para su utilización.

El tipo y alcance del control aplicado al proveedor y al producto y/o servicio adquirido debe depender de su impacto,cuando sea aplicable, sobre:

a) La realización del producto y/o prestación del servicio,b) La calidad del producto y/o servicio final yc) La calidad de los ensayos y calibraciones

NOTA 2: Conviene solicitar y revisar el plan de preparación y respuesta de proveedores críticos, con el fin de evaluar sucapacidad para continuar entregando los productos y/o servicios necesarios en una situación de crisis.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

56/93

5.1.2 INFORMACIÓN PARA EL APROVISIONAMIENTO DE BIENES Y SERVICIOS

La información descrita en los pliegos de condiciones o en las disposiciones aplicables del producto y/oservicio por adquirir (incluyendo los recursos TI), debe incluir, cuando sea apropiado:

a) Descripción de los suministros, productos, servicios, suministros y otros por adquirir.b) Los requisitos para la aprobación del producto y/o servicio, procedimientos, procesos y equipos.c) Los requisitos para la calificación del personal.d) Los requisitos del SGCI.e) Información de la infraestructura tecnológica y software aplicativo que se va a adquirir, que

incluya las extensiones futuras para adiciones de capacidad, costos de transición, riesgostecnológicos, vida útil de la inversión para actualizaciones de tecnología, evaluación de los

costos de complejidad y viabilidad comercial del proveedor y el producto al añadir nuevacapacidad técnica.

Ecopetrol S.A. y sus subordinadas deben asegurar que la información que describe los bienes y/oservicios solicitados, sea revisada y aprobada en cuanto a su contenido técnico antes de sercomunicada al proveedor.

NOTA 1: Para los laboratorios, la descripción puede incluir el tipo, el grado, una identificación precisa, especificaciones,dibujos, instrucciones de inspección, otros datos técnicos, incluida la aprobación de los resultados, la calidad requerida y lanorma del sistema de gestión bajo la que fueron realizados.

NOTA 2: La organización debería establecer espacios periódicos para brindar directrices tecnológicas, asesoría sobre losproductos de la infraestructura, guías sobre la selección de la tecnología y medir el cumplimiento de estos estándares ylineamientos.

NOTA 3: Cuando se adquiere infraestructura tecnológica y software aplicativo, es conveniente, dentro de losrequerimientos, la inclusión de pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir latransición e instrucciones de migración, el cronograma para la liberación y la transición en sí al ambiente de producción, yrevisar la post-implantación.

5.1.3 SELECCIÓN Y EVALUACIÓN DE PROVEEDORES

Ecopetrol S.A. y sus subordinadas deben evaluar y seleccionar a los proveedores con base en unaselección objetiva y en función de su capacidad para suministrar productos consumibles, suministros yservicios que afecta a la calidad de los productos y/o servicios, ensayos y de las calibraciones, deacuerdo con los requisitos definidos previamente. Se deben mantener los registros de dichasevaluaciones.

Se debe establecer un proceso para asegurar que el proveedor está cumpliendo con los requerimientosde la organización, que se adhiere continuamente a los acuerdos del contrato y que el desempeño escompetitivo con proveedores alternativos y las condiciones del mercado. Se deben mantener registrosde los resultados de las evaluaciones y de cualquier acción necesaria derivada de éstas.

Ecopetrol S.A. y sus subordinadas deben mantener:

a) Una lista de proveedores aprobados que incluya la identificación de todos los servicios de losproveedores, categorización de acuerdo al tipo de proveedor, significado y criticidad.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

57/93

b) Documentación formal de relaciones técnicas y organizacionales que cubren los roles y

responsabilidades, metas y entregables esperados. Para los laboratorios, se deben mantenerregistros de la evidencia del cumplimiento de la norma NTC ISO/IEC17025 por parte de susproveedores de servicio de ensayo y/o calibración. (Véase 3.3.2)

Ecopetrol S.A y sus subordinadas deben asegurar que la información que describe los bienes y/oservicios solicitados, sea revisada y aprobada en cuanto a su contenido antes de ser comunicada alproveedor.

NOTA 1: Selección objetiva se refiere a aquella selección en la cual la escogencia se hace al ofrecimiento más favorable ala organización y a los fines que ella busca, sin tener en consideración factores de afecto o de interés y, en general,cualquier clase de motivación subjetiva o que vaya en contra del Código de Ética.

NOTA 2: El término evaluación de proveedores incluye la evaluación inicial y las posteriores que se deriven de lanecesidad de evaluar el desempeño del proveedor (re-evaluaciones).

NOTA 3: Durante la evaluación y selección de proveedores, es conveniente consultar las listas oficiales de empresas conimpedimentos legales, o con restricciones éticas acorde a la normatividad aplicable, y el listado de marcas aceptadas porEcopetrol S.A. y sus subordinadas.

NOTA 4: Es conveniente que la documentación propia de la organización sea suministrada a terceros bajo un acuerdo deconfidencialidad.

5.1.4 VERIFICACIÓN DE LOS PRODUCTOS Y/O SERVICIOS ADQUIRIDOS

Ecopetrol S.A. y sus subordinadas deben establecer e implementar la inspección u otras actividadesnecesarias para asegurarse de que el producto y/o servicio, suministros, los reactivos y los materialesconsumibles adquiridos cumplen con lo especificado en los pliegos de condiciones, en las disposicionesaplicables o en las especificaciones normalizadas, antes de su uso. Se deben mantener registros de laverificación del cumplimiento. (Véase 3.3.2)

Cuando Ecopetrol S.A. y sus subordinadas o sus clientes quieran llevar a cabo la verificación en lasinstalaciones del proveedor, se debe establecer en los pliegos de condiciones o en las disposicionesaplicables, las especificaciones para la verificación pretendida y el método para la aceptación delproducto y/o servicio.

Adicionalmente, los laboratorios deben documentar un procedimiento para la recepción y elalmacenamiento de los reactivos y materiales consumibles de laboratorio que se necesiten para losensayos y las calibraciones.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

58/93

5.2 MANTENIMIENTO DE RECURSOS

El subelemento Mantenimiento de Recursos tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.,requeridos para la adecuada gestión de los procesos, relacionados con la administración,mantenimiento, integridad, custodia y actualización de los Recursos, para asegurar la confiabilidadoperacional a un costo óptimo y un ambiente de trabajo adecuado, que contribuya de forma efectiva alcumplimiento de los objetivos de la organización.

5.2.1 INFRAESTRUCTURA

Ecopetrol S.A. y sus subordinadas deben administrar, determinar, proporcionar y mantener lainfraestructura necesaria para lograr la conformidad con los requisitos del producto y/o servicio segúnlas leyes y los reglamentos, los lineamientos corporativos, los requerimientos técnicos, lasespecificaciones del proveedor, teniendo en cuenta los lineamientos de seguridad industrial, seguridad

de procesos operacionales, salud ocupacional y medio ambiente y el riesgo asociado con desastresnaturales y causados por el hombre.

La infraestructura incluye, cuando sea aplicable:

a) Edificios, espacio de trabajo y sus servicios asociados (por ejemplo: redes internas desuministro de servicios públicos o propios, cableado estructural, centros de datos físicos, entreotros).

b) Herramientas, equipos y sistemas de información (tanto hardware como software) para lagestión de los procesos,

c) Servicios de apoyo (tales como transporte y comunicación).d) Los activos industriales.

e) Equipos y patrones para el muestreo, la medición y el ensayo, requeridos para la correctaejecución de los ensayos o de las calibraciones (incluido el muestreo, la preparación de losítems de ensayo o de calibración y el procesamiento y análisis de los datos de ensayo o decalibración).

Se debe definir e implementar procedimientos para garantizar el mantenimiento oportuno de lainfraestructura con el fin de reducir la frecuencia y el impacto de las fallas o de la disminución deldesempeño.

Estos procedimientos deben:

f) Ser establecidos e implementados para asegurar la integridad mecánica del equipo de proceso

en una base continua (p.ej., arranques, operación rutinaria, paros, y paros paramantenimiento).g) Incluir cuando sea pertinente, para los equipos críticos una matriz donde se refleje el plan de

pruebas funcionales, inspección y/o mantenimiento proactivo (preventivo y predictivo) endonde se definan las frecuencias, los métodos y zonas a inspeccionar.

h) Definir las frecuencias máximas de pruebas, inspección o mantenimiento de acuerdo con elanálisis riesgos respectivo y/o por el estándar que aplique al tipo de equipo

i) Lineamientos para asegurar la calidad de los materiales y repuestos. j) Prever la realización de un análisis continuo de ingeniería de confiabilidad, cuando aplique.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

59/93

NOTA: La ingeniería de confiabilidad son las herramientas de evaluación de cómo un sistema y sus componentes

individuales pueden ser operados con seguridad antes de ser sacados de servicio para mantenimiento o sustitución.

En aquellos casos en los que Ecopetrol S.A. y sus subordinadas necesiten utilizar equipos que esténfuera de su control permanente se debe asegurar que se controlan dichos equipos.

Cada equipo y su software utilizado que sea crítico para la organización debe, en la medida de loposible, estar unívocamente identificado. Cuando se requiera, se deben establecer registros de cadacomponente de los equipos y su software. Los registros deben incluir por lo menos lo siguiente:

k) La identificación del equipo y su software.l) El nombre del fabricante, la identificación del modelo, el número de serie u otra identificación

única.m) Las verificaciones de la conformidad del equipo con la especificación.

n) La ubicación actual, cuando corresponda.o) Las instrucciones del fabricante, si están disponibles o la referencia a su ubicación.p) Las recomendaciones para su uso seguro.q) Las fechas, los resultados y las copias de los informes y de los certificados de todas las

calibraciones, los ajustes, los criterios de aceptación, y la fecha prevista de la próximacalibración.

r) El programa de mantenimiento de herramientas, equipos y sistemas de información (tantohardware como software)e instalaciones , cuando corresponda, y el mantenimiento llevado acabo hasta la fecha y

s) Todo daño, mal funcionamiento, modificación o reparación del equipo.

Los equipos y su software utilizados en las operaciones, los ensayos, las calibraciones y el muestreodeben permitir lograr la exactitud requerida y deben cumplir con las especificaciones pertinentes paralas verificaciones, ensayos y las calibraciones concernientes. Los equipos deben ser operados porpersonal autorizado.

Las instrucciones actualizadas sobre el uso y el mantenimiento de los equipos (incluido cualquiermanual pertinente suministrado por el fabricante del equipo) deben estar disponibles para ser utilizadaspor el personal.

5.2.2 AMBIENTE DE TRABAJO

5.2.2.1 Ambiente de trabajo para la producción y/o prestación del servicio

Ecopetrol S.A. y sus subordinadas deben determinar y gestionar el ambiente de trabajo necesario para

lograr la conformidad con los requisitos del producto y/o servicio y que garantice un ambiente sano,limpio y seguro.

Se debe realizar el seguimiento, controlar y registrar las condiciones ambientales según requieran lasespecificaciones, métodos y procedimientos correspondientes, o cuando éstas puedan influir en lacalidad de los resultados, productos y/o servicios. Se debe diseñar e implementar medidas deprotección contra factores ambientales e instalarse dispositivos y equipo especializado para monitoreary controlar el ambiente.

En lo referente a la seguridad de la información, la administración del ambiente de trabajo debe incluir:





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

60/93

a) La definición de los requerimientos físicos del centro de datos (site).b) La selección de instalaciones apropiadas.c) El diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso

físico.

NOTA 1: El término ambiente de trabaj o está relacionado con aquellas condiciones bajo las cuales se realiza el trabajo,incluidos: factores físicos, biológicos, químicos, condiciones ambientales, operacionales y de otro tipo (tales comoergonomía, el ruido, la temperatura, la humedad, la iluminación o las condiciones climáticas).

NOTA 2 Para TI, el término ambiente físico debe entenderse como ambiente de trabajo.

5.2.2.2 Ambiente de Trabajo para Laboratorios

Las instalaciones de ensayos o de calibraciones deben incluir como mínimo las fuentes de energía, lailuminación y las condiciones ambientales para facilitar la realización correcta de los ensayos o de lascalibraciones. Los laboratorios deben asegurarse de que las condiciones ambientales no invaliden losresultados ni comprometan la calidad requerida de las mediciones.

Se deben tomar precauciones especiales cuando el muestreo, los ensayos y/o las calibraciones serealicen en sitios distintos de la instalación permanente de laboratorio. Los requisitos técnicos para lainfraestructura y las condiciones ambientales que puedan afectar a los resultados de los ensayos,verificaciones y calibraciones deben estar documentados.

Muchos factores determinan la exactitud y la confiabilidad de los ensayos y/o de las calibracionesrealizadas por un laboratorio. Estos factores incluyen elementos provenientes:

a) De los factores humanos.

b) De las instalaciones y condiciones ambientales.c) De los método de ensayos y de calibración y de la validación de los métodos.d) De los equipos.e) De la trazabilidad de las mediciones.f) Del muestreo.g) De la manipulación de los ítems de ensayos y de calibración.

El grado en que estos factores contribuyen a la incertidumbre total de la medición difiereconsiderablemente según los ensayos (y tipos de ensayos) y calibraciones (y tipos de calibraciones).Los laboratorios deben tener en cuenta estos factores al desarrollar los métodos y procedimientos deensayo y de calibración, en la formación y la calificación del personal, así como la selección y lacalibración de los equipos utilizados.

Cuando las condiciones ambientales (la esterilidad biológica, el polvo, la interferencia electromagnética,la radiación, la humedad, el suministro eléctrico, la temperatura y los niveles de ruido y vibración,entre otros) comprometan los resultados de ensayos y/o de las calibraciones, éstos se debeninterrumpir.

Debe haber una separación eficaz entre áreas vecinas de los laboratorios, en las que se realicenactividades incompatibles. Se deben tomar medidas para prevenir la contaminación cruzada.Se debe controlar el acceso y el uso de las áreas que afectan a la calidad de los ensayos y/o de lascalibraciones. Los laboratorios debe determinar la extensión del control en función de suscircunstancias particulares.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

61/93

Se deben tomar medidas para asegurar el orden y la limpieza de los laboratorios. Cuando sean

necesarios se deben preparar procedimientos especiales.

5.2.3 MEDIDAS DE SEGURIDAD FÍSICA

Ecopetrol y sus filiales deben definir e implementar medidas para prevenir e impedir accesos noautorizados, daños e interferencia a las sedes e instalaciones e información de la organización. Sedeben aplicar controles para el manejo preventivo de factores ambientales que puedan causar daño enel correcto funcionamiento de los equipos o deterioro en la infraestructura. Las medidas deben incluir,pero no limitarse al perímetro de seguridad, las zonas de seguridad y la ubicación de equipo crítico.

Se deben establecer responsabilidades sobre el monitoreo y los procedimientos de reporte y deresolución de incidentes de seguridad física.

5.2.4 CONTROL DE LOS EQUIPOS DE SEGUIMIENTO Y DE MEDICIÓN5.2.4.1 Control de los equipos de seguimiento y de medición para la producción y/o

prestación del servicio

Ecopetrol S.A. y sus subordinadas deben determinar el seguimiento y la medición por realizar y losequipos de seguimiento y medición necesarios para proporcionar la evidencia de la conformidad delproducto y/o servicio con los requisitos determinados (Véase 4.1.3).

Se deben establecer procesos para asegurarse de que el seguimiento y medición pueden realizarse yde que se realizan de una manera coherente con los requisitos de seguimiento y medición.

Cuando sea necesario asegurarse de la validez de los resultados, los equipos de medición y los equiposde ensayo y de calibración, tanto el hardware como el software, deben:

a) Calibrarse y/o verificarse a intervalos especificados o antes de su utilización, comparado conpatrones de medición trazables a patrones de medición internacionales o nacionales con una

jerarquía de incertidumbre igual o mayor a la esperada. Cuando no existan tales patrones, deberegistrarse la base utilizada para la calibración o la verificación. (Véase 3.3.2),

b) Ajustarse o reajustarse según sea necesario.c) Estar identificado para poder determinar el estado de calibración, incluida la fecha en la que

fueron calibrados por última vez y su fecha de vencimiento o el criterio para la próximacalibración.

d) Protegerse contra ajustes que pudieran invalidar el resultado de la medición.e) Protegerse contra los daños y el deterioro durante la manipulación, el mantenimiento y el

almacenamiento.

Además, se debe evaluar y registrar la validez de los resultados de las mediciones anteriores cuando severifique que el equipo no está conforme con los requisitos (equipos que hayan sido sometidos a unasobrecarga o a un uso inadecuado, que den resultados dudosos, o se haya demostrado que sondefectuosos o que están fuera de los límites especificados). En lo referente a los laboratorios, se debeexaminar el efecto del defecto o desvío de los límites especificados en los ensayos y/o las calibraciones(mediante aplicación de inspecciones y/o pruebas interlaboratorio) y se debe aplicar el procedimientode control del trabajo no conforme. (Véase 7.6.3).





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

62/93

Se deben tomar las acciones apropiadas sobre el equipo. Se deben aislar para evitar su uso o se deben

rotular o marcar claramente que están fuera de servicio hasta cuando hayan sido reparados y se hayademostrado que funcionan correctamente y tomar acciones apropiadas sobre cualquier producto y/oservicio afectado.

Se deben mantener registros de los resultados de la calibración y la verificación, durante tiemposuficiente, para cumplir con la legislación y los lineamientos de la organización (Véase 3.3.2). Si serequieren equipos de seguimiento para el desempeño, y la medición o seguimiento, o todos ellos, sedeben establecer y mantener procedimientos para la calibración y mantenimiento de dichos equipos. Sedeben conservar registros de las actividades de calibración y mantenimiento y de los resultados.

Cuando un instrumento para calibración ha sido ajustado o reparado, se deben informar los resultadosde la calibración antes y después del ajuste o la reparación, con la incertidumbre final que se reporta,si estuvieran disponibles.

Se debe confirmar la capacidad de los programas informáticos para satisfacer su aplicación previstacuando estos se utilicen en las actividades de seguimiento y medición de los requisitos especificados.Esto debe llevarse a cabo antes de iniciar su utilización y confirmarse nuevamente cuando seanecesario.

NOTA 1: Véase la norma NTC-ISO 10012, a modo de orientación.

NOTA 2: La confirmación de la capacidad del software para satisfacer su aplicación prevista incluiría habitualmente suverificación y gestión de la configuración para mantener la idoneidad para su uso.

5.2.4.2 Control de los equipos de seguimiento y de medición para laboratorios

Los laboratorios deben contar con procedimientos para la manipulación segura, el transporte, el

almacenamiento el uso y el mantenimiento planificado de los equipos de medición con el fin deasegurar el funcionamiento correcto y de prevenir la contaminación o el deterioro.

Cuando, por cualquier razón, el equipo quede fuera del control directo de los laboratorios, debeasegurarse de que se verifican el funcionamiento y el estado de calibración del equipo y de que sonsatisfactorios, antes de que el equipo sea reintegrado al servicio.

Cuando se necesiten verificaciones intermedias para mantener la confianza en el estado de calibraciónde los equipos, éstas se deben efectuar según un procedimiento definido. Cuando las calibraciones denlugar a un conjunto de factores de corrección, los laboratorios deben tener procedimientos paraasegurarse de que las copias (por ejemplo, en el software), se actualizan correctamente.

NOTA: Pueden ser necesarios procedimientos adicionales cuando los equipos de medición se utilicen fuera de lasinstalaciones permanentes de los laboratorios para los ensayos, las calibraciones o el muestreo.

5.2.5 CALIBRACIÓN DE EQUIPOS PARA ENSAYOS Y/O CALIBRACIONES

Todos los equipos utilizados para los ensayos y/o las calibraciones, incluidos los equipos paramediciones auxiliares (por ejemplo, de las condiciones ambientales) que tengan un efecto significativoen la exactitud, repetición y/o reproducibilidad o en la validez del resultado del ensayo, de lacalibración o del muestreo, deben ser calibrados y/o verificados y emitirse un certificado que reporte laincertidumbre final del equipo y la aceptación de que el equipo entra en servicio nuevamente.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

63/93

5.2.5.1 Equipos para laboratorios de Calibración

Para los laboratorios de calibración de Ecopetrol S.A y sus subordinadas, se debe establecer unprograma y un procedimiento para la calibración de sus equipos. El programa de calibración de losequipos debe ser diseñado y operado de modo que se asegure que las calibraciones y las medicioneshechas por los laboratorios sean trazables al Sistema Internacional de Unidades (SI). Es convenienteque dicho programa incluya un sistema para seleccionar, utilizar, calibrar, verificar, controlar ymantener los patrones de medición, los materiales de referencia utilizados como patrones de medición,y los equipos de ensayo y de medición utilizados para realizar los ensayos y las calibraciones.

Se deben establecer programas de calibración para las magnitudes o los valores esenciales de losinstrumentos cuando dichas propiedades afecten significativamente a los resultados. Antes de poner enservicio un equipo (incluido el utilizado para el muestreo) se debe calibrar o verificar con el fin deasegurar que responde a las exigencias especificadas de los laboratorios y cumple las especificaciones

normalizadas pertinentes. El equipo debe ser verificado o calibrado antes de su uso.Cuando se utilicen servicios de calibración externos, se debe asegurar la trazabilidad de la mediciónmediante el uso de servicios de calibración provistos por laboratorios que pueden demostrar sucompetencia y su capacidad de medición y trazabilidad. Los certificados de calibración emitidos porestos laboratorios deben contener los resultados de la medición, incluida la incertidumbre de lamedición y/o una declaración sobre la conformidad con una especificación metrológica identificada.

NOTA 1: Los laboratorios de calibración que cumplen con la norma NTC ISO/IEC 17025 son considerados competentes. Uncertificado de calibración que lleve el logotipo de un organismo de acreditación, emitido por un laboratorio de calibraciónacreditado según la Norma NTC ISO/IEC 17025 para la calibración concerniente, es suficiente evidencia de la trazabilidadde los datos de calibración contenidos en el informe.

NOTA 2: La trazabilidad a las unidades de medidas del SI se puede lograr mediante referencia a un patrón primario

apropiado (Véase VIM: 1993, 6.4) o mediante referencia a una constante natural, cuyo valor en términos de la unidad SIpertinente es conocido y recomendado por la Conferencia General de Pesas y Medidas (CGPM) y el comité Internacional dePesas y Medidas (CIPM).

NOTA 3: Los laboratorios de calibración que mantienen su propio patrón primario o la propia representación de lasunidades SI basada en constantes físicas fundamentales, pueden declarar trazabilidad al sistema SI solo después de queestos patrones hayan sido comparados, directa o indirectamente, con otros patrones similares de un instituto nacional demetrología.

NOTA 4: La expresión especificación metrológica identificada significa que la especificación con la que se compararon lasmediciones debe surgir claramente del certificado de calibración, el cual incluirá dicha especificación o hará referencia aella de manera no ambigua.

NOTA 5: Cuando los términos patrón internacional o patrón nacional son utilizados en conexión con la trazabilidad, sesupone que cumplen las propiedades de los patrones primarios para la realización de las unidades SI.

NOTA 6: La trazabilidad a patrones de medición nacionales no necesariamente requiere el uso del instituto nacional demetrología del país en el que los laboratorios estén ubicados pero debería estar acreditado en la variable medida a nivelnacional o a nivel internacional.

NOTA 7: Si un laboratorio de calibración desea o necesita obtener trazabilidad de un instituto nacional de metrologíadistinto al de su propio país, es conveniente que este laboratorio seleccione un instituto nacional de metrología queparticipe activamente en las actividades de la Oficina Internacional de Pesas y Medidas, ya sea directamente o a través degrupos regionales.

NOTA 8: La cadena ininterrumpida de calibraciones o comparaciones se puede lograr en varios pasos llevados a cabo pordiferentes laboratorios que pueden demostrar la trazabilidad y la jerarquía de la incertidumbre reportada.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

64/93

5.2.5.2 Equipos para laboratorios de Ensayos

Para los laboratorios de ensayo de Ecopetrol S.A. y sus subordinadas, los requisitos dados en elnumeral 5.2.4.1 se aplican a los equipos de medición y ensayo con funciones de medición que utiliza, amenos que se haya establecido que la incertidumbre introducida por la calibración contribuye muy pocoa la incertidumbre total del resultado del ensayo. Cuando se dé esta situación los laboratorios debeasegurarse de que el equipo utilizado puede proveer la incertidumbre de medición requerida.

Cuando la trazabilidad de las mediciones a las unidades Sistema Internacional de Unidades (SI) no esposible y/o no sea pertinente, se deben exigir los mismos requisitos para la trazabilidad (por ejemplo,por medio de materiales de referencia certificados, métodos acordados y/o normas consensuadas) quepara los laboratorios de calibración.

NOTA 1: El grado de cumplimiento de los requisitos indicados en la calibración (Véase 5.2.4.1) depende de la contribuciónrelativa de la incertidumbre de la calibración a la incertidumbre total. Si la calibración es el factor dominante, esconveniente que se sigan estrictamente los requisitos.

NOTA 2: Cuando la organización disponga de laboratorios de análisis de calidad en puntos de transferencia de custodiaconviene establecer mecanismos para validar y comunicar la capacidad del laboratorio para cumplir con los criterios derepetición y reproducibilidad de las técnicas utilizadas para los análisis de laboratorio desarrollados.

5.2.6 PATRONES DE REFERENCIA Y MATERIALES DE REFERENCIA

Los laboratorios deben tener un programa y un procedimiento para la calibración de sus patrones dereferencia. Los patrones de referencia deben ser calibrados por un organismo que pueda proveer latrazabilidad como se indica en el numeral 5.2.4. Dichos patrones de referencia para la medición,conservados por los laboratorios, deben ser utilizados sólo para la calibración y para ningún otropropósito, a menos que se pueda demostrar que su desempeño como patrones de referencia no seráinvalidado. Los patrones de referencia deben ser calibrados antes y después de cualquier ajuste.

Cada vez que sea posible, se debe establecer la trazabilidad de los materiales de referencia a lasunidades de medida SI o a materiales de referencia certificados. Los materiales de referencia internosdeben ser verificados en la medida que sea técnica y económicamente posible.

5.2.6.1 Verificaciones intermedias

Se deben llevar a cabo las verificaciones que sean necesarias para mantener la confianza en el estadode calibración de los patrones de referencia, primarios, de transferencia o de trabajo y de losmateriales de referencia de acuerdo con los procedimientos y una programación definidos.

5.2.6.2 Transporte y almacenamiento

Los laboratorios deben tener procedimientos para la manipulación segura, el transporte, elalmacenamiento y el uso de los patrones de referencia y materiales de referencia con el fin de prevenirsu contaminación o deterioro y preservar su integridad.

NOTA: Pueden ser necesarios procedimientos adicionales, cuando los patrones de referencia y los materiales de referenciason utilizados fuera de las instalaciones permanentes de los laboratorios para los ensayos, las calibraciones o el muestreo.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

65/93

5.3 DISPOSICIÓN FINAL DE RECURSOS

El subelemento Disposición Final de Recursos tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con el desmantelamiento, abandono, cesión,disposición controlada, venta, permutas, destrucción, pérdidas y bajas contables de los recursos,

propendiendo por un comportamiento socio-ambientalmente responsable y la optimización del costooperativo.

Ecopetrol S.A. y sus subordinadas deben establecer procedimientos para la disposición final de activos,en atención al ciclo de vida de los mismos. Los bienes retirados del servicio y que no sean catalogadoscomo inservibles, pueden tener diferente destinación, de acuerdo con los lineamientos y decisiones dela organización.

NOTA: Se consideran actividades del ciclo de vida de los activos:

a) Creación, adquisición o mejora de activos, (Véase 5.1)b) Utilización de activos,(Véase 5.1)c) Mantenimiento de activos (Véase 5.2) yd) Puesta fuera de servicio y/o disposición final de activos.

Ecopetrol S.A. y sus subordinadas deben elaborar y mantener un inventario de todos los activosimportantes que incluya la identificación de todos los activos dentro del alcance del SGCI y lospropietarios de éstos. Toda la información y los activos asociados con los servicios de procesamiento deinformación deben ser propiedad de una parte designada de la organización.

NOTA: El término propietario identifica a un individuo u organización que tiene la responsabilidad de controlar laproducción, desarrollo, mantenimiento, uso y seguridad de los activos, el término propietario no quiere decir que lapersona realmente tenga algún derecho de propiedad sobre el activo.

Cuando se reutilice o elimine algún equipo, se deben verificar los elementos del equipo que contenganmedios de almacenamiento, para asegurar que se haya eliminado cualquier software licenciado y datossensibles.

Los activos recibidos en cambio, permuta, donación, dación en pago u otra modalidad, deben serreconocidos por el valor convenido o, a falta de éste, por un valor determinado mediante avalúotécnico.

5.3.1 RETIRO Y BAJA DE MATERIALES NO REQUERIDOS PARA OPERAR

Ecopetrol S.A. y sus subordinadas deben contar con procedimientos para retirar y dar de baja losmateriales inactivos, inservibles y/u obsoletos, que incluyan identificación, evaluación, aprobación,

registro en sistemas correspondientes y enajenación y disposición final. Los procedimientos debenproporcionar atención adecuada a todas las condiciones únicas que pudieran desarrollarse durante eldesmantelamiento o abandono total de los materiales inactivos, inservibles y/u obsoletos tales comodescontaminación de equipo, monitoreo y disposición de inventario y procesos de logística inversa.

NOTA: Se entiende por Materiales Inactivos aquellos materiales en buen estado no requeridos para la operación y que nocorresponden a Materiales Obsoletos por Materiales Inservibles a aquellos materiales, cuyo deterioro físico los haceinutilizables para su función original y por Materiales Obsoletos aquellos materiales en buen estado, en desuso porinnovación tecnológica o materiales asociados a equipos que han sido retirados del servicio.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

66/93

5.3.2 RETIRO Y BAJA DE TUBERÍAS EN EL SITIO DONDE SE ENCUENTRAN INSTALADAS

Al momento de realizar la reposición de un tramo de tubería, debe confirmarse con el árearesponsable, si corresponde a un activo fijo y aplicar el proceso correspondiente. Ya se trate de unoleoducto, poliducto o cualquier otra infraestructura de transporte de hidrocarburos, se debe establecerprocedimientos que incluyan:

a) Evaluar la tubería con criterios de relación costo/beneficio, implicaciones ambientales,implicaciones sociales para determinar si debe ser recuperada.

b) Analizar reutilización de la tubería.c) Desmantelar, limpiar y transportar.d) Analizar impacto ambiental para prevenir que la tubería dejada en el sitio no se convierta en un

pasivo ambiental.e) Dar de baja del inventario de activos según corresponda.f) Realizar los registros contables pertinentes, de acuerdo a la forma y oportunidad que establezca

el área de contabilidad.

5.3.3 ABANDONO TEMPORAL O DEFINITIVO DE POZOS

Ecopetrol S.A. y sus subordinadas deben contar con procedimientos de acuerdo con la legislaciónaplicable, para el desmantelamiento, abandono, taponamiento permanente o temporal de pozos,pruebas de integridad que se realicen, las características de los tapones y la obligación de dejar lasáreas en las condiciones exigidas.

Se debe presentar a la autoridad competente un programa de abandono de instalaciones y pozos en las

formas respectivas. Cuando se requiera abandonar o tapar un pozo, se debe solicitar autorizaciónprevia y verificación de la autoridad competente.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

67/93

6. RIESGOS Y CONTROLES

El elemento Riesgos y Controles tiene como finalidad agrupar los lineamientos y requisitos de lasreferencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. para la adecuadagestión de los procesos, relacionados con el análisis y control de aquellos eventos de ocurrenciaincierta, tanto internos como externos que de materializarse podrían generar un impacto positivo onegativo, en el logro o cumplimiento de los objetivos empresariales y su despliegue en la organización.

6.1 RIESGOSEl subelemento Riesgos tiene como finalidad agrupar todas las directrices y requisitos definidos porEcopetrol S.A. y referencias normativas nacionales e internacionales requeridos para la adecuadagestión de los procesos para llevar a cabo la planeación, identificación, evaluación y definir eltratamiento de los riesgos a que está expuesta la organización, con el fin de proporcionar respuestaseficientes al riesgo y seguridad razonable del alcance de los objetivos empresariales.

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener lineamientos apropiadospara la gestión de riesgos, que incluya directrices y métodos para planear, identificar, valorar, tratar,monitorear y comunicar los riesgos, alineados con la política integral de gestión, los objetivos y metas,la estructura organizacional, la cultura y el ambiente de control de la organización. Estos lineamientosdeben ser aplicados a los proyectos que lleve a cabo la organización, con las particularidades que lagestión de proyectos implique.

Los lineamientos para la gestión de riesgos deben contemplar los posibles impactos sobre:

a) La estrategia.b) Los procesos, productos y/o servicios.c) Proyectos.

d) Los recursos, infraestructura y tecnología.e) La confidencialidad, integridad y disponibilidad de la información.f) Los activos de TI.g) Las personas.h) La sociedad.i) El medio ambiente.

j) Reputación.k) Legislación, código de buen gobierno, código de ética y demás mecanismos de autorregulación.l) El cumplimiento de contratos.

NOTA; Se considera Riesgo todo evento de ocurrencia incierta que, de materializarse, genera unimpacto positivo o negativo en el logro o cumplimiento de los objetivos. El riesgo se puede medir entérminos del impacto de las consecuencias y la probabilidad de ocurrencia de las mismas.

Los lineamientos deben considerar un ciclo para la gestión de riesgos, que contemple como mínimo, lassiguientes etapas:

Planeación.Identificación y valoración de riesgos.Tratamiento a los riesgos.Monitoreo de los riesgos.Comunicación.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

68/93

6.1.1 PLANEACIÓN

La planeación debe incluir la definición de recursos, tiempo, lineamientos, procesos y herramientasrequeridos para el ciclo de gestión de riesgos.

Se deben considerar como información de entrada para la planeación:

a) El personal involucrado (Véase 2.1.3);b) Lineamientos y procedimientos organizacionales que pueden influir en la planeación de la

gestión de riesgos (categorías de riesgos preestablecidas, formatos, niveles de autoridad ytoma de decisión).

c) Lecciones aprendidas.d) Ejercicios anteriores de riesgos.

El plan de gestión de riesgos se considera la salida de la planeación, el cual debe incluir:

e) Metodología de gestión de riesgos.f) Roles y responsabilidades del personal involucrado.g) Presupuesto y cronograma.h) Formatos e informes, incluida la matriz de probabilidad e impacto.i) Estructura de monitoreo e informes.

j) Plan de comunicación.k) Categorías de riesgos.

6.1.2 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO

Ecopetrol S.A. y sus subordinadas deben establecer y mantener uno o varios procedimientos para:

a) Identificar los eventos que puedan afectar positiva o negativamente el cumplimiento de losobjetivos, bien sea que se encuentren bajo el control de la organización o no.

b) Valorar y priorizar los riesgos de sus procesos, proyectos, actividades productos y/o servicios,usando métodos cualitativos, semicuantitativos y cuantitativos.

c) Documentar y mantener actualizada la información relacionada.d) Identificar cómo los riesgos se relacionan entre sí.

El (los) procedimiento(s) para la identificación y valoración de riesgos deben tener en cuenta, entreotros aspectos:

e) Los objetivos estratégicos y de procesos.f) Riesgos previamente identificados.g) Controles y/o medidas de mitigación o existentes.h) Informes de auditoría internas y externas.i) Información histórica de eventos y riesgos materializados.

j) Actividades rutinarias y no rutinarias.k) Actividades de todas las personas que tienen acceso al sitio de trabajo (incluso contratistas y

visitantes).l) Comportamiento, aptitudes, necesidades de formación y habilidades y otros factores humanos.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

69/93

m) Los riesgos identificados que se originan fuera del lugar de trabajo con capacidad de afectar

adversamente la salud y la seguridad de las personas que están bajo el control de laorganización en el lugar de trabajo.

n) Aspectos ambientales significativos.o) Los riesgos generados en la vecindad del lugar de trabajo por actividades relacionadas con los

trabajos controladas por la organización.p) Amenazas y riesgos a la infraestructura, equipo, activos de TI y materiales en el lugar de

trabajo, el diseño de áreas de trabajo, procesos, procedimientos de operación y organizacióndel trabajo, incluida su adaptación a las aptitudes humanas, ya sean suministrados por laorganización o por otros

q) Cambios realizados o propuestos en la organización, sus actividades o los materiales;r) modificaciones al SGCI, incluidos los cambios temporales y sus impactos sobre las operaciones,

procesos y actividades.s) Cualquier obligación legal aplicable relacionada con la valoración del riesgo y la implementación

de los controles necesarios.

El resultado de identificación y valoración del riesgo debe incluir, como mínimo la siguienteinformación:

Riesgo: Hace referencia al evento que podría ocurrir.Causas: Hace referencia a Por qué podría ocurrir el evento.Consecuencias: Hace referencia a cuál sería el impacto de dicho evento.Objetivos afectados.Categoría de riesgos.

Se deben mantener registros de la identificación y valoración de riesgos. (Véase 3.3.2)NOTA 1: El establecimiento de los objetivos ya sean estratégicos como de proceso, es condición previa para identificación,valoración y respuesta a los riesgos.

NOTA 2: Un aspecto relevante para valoración del riesgo en la continuidad del negocio consiste en darle mayor valor alriesgo que al materializarse, tenga el potencial de interrumpir las actividades y procesos clave de la organización.

6.1.3 TRATAMIENTO A LOS RIESGOS

Ecopetrol S.A. y sus subordinadas deben identificar y seleccionar las posibles opciones para eltratamiento de los riesgos, definir y ejecutar los planes de tratamiento.

El tratamiento de los riesgos identificados debe enfocarse hacia la disminución o aprovechamiento de

las causa raíz.

Se debe escoger la opción de tratamiento para las causas asociadas al riesgo. Las opciones detratamiento incluyen:

a) Eliminar o evitar el riesgo.b) Transferir o compartir el riesgo a terceros (aseguradoras, bancos, proveedores, socios, entre

otros).c) Mitigar el riesgo (sustituir o reducir, medidas de ingeniería o de tecnología, medidas

administrativas sobre riesgo).





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

70/93

d) Aceptar los riesgos con conocimiento y objetividad de acuerdo a los criterios definidos para el

riesgo aceptable.e) Explotar el riesgo.

Para seleccionar la opción de tratamiento más adecuada la organización debe considerar niveles deautoridad, niveles de tolerancia al riesgo y evaluar el costo/beneficio de las opciones de tratamiento.

Las acciones de tratamiento deben ser suficientes para la reducción o eliminación de las causas omitigación de las consecuencias identificadas de los riesgos, estén o no bajo responsabilidad del área oproceso responsable del riesgo.

NOTA 1: Cuando la organización seleccione mitigar como opción de tratamiento al riesgo, el plan de tratamiento a losriesgos incluirá los objetivos y actividades de control (controles, Véase 6.2), para asegurar que se lleve a cabo la respuestaa los riesgos.

El plan de tratamiento a los riesgos se considera la salida del tratamiento a los riesgos, el cual debería incluir, comomínimo:

a) Causas raíz.b) Acciones de tratamiento.c) Responsables, fechas y recursos necesarios para la ejecución de las acciones de tratamiento.d) Responsables de seguimiento de las acciones de tratamiento.e) Indicadores clave de riesgos, si ha sido posible su definición.

NOTA 2: Puede consultarse a manera de orientación el manual de gestión de riesgos de la organización para la elaboraciónde planes de tratamiento.

6.1.4

MONITOREO DE LOS RIESGOS

Ecopetrol S.A. y sus subordinadas deben asegurar el seguimiento y control de los planes detratamiento a los riesgos, lo cual debe incluir:

a) Verificación del cumplimiento y la efectividad de los planes.b) Realización de ajustes o modificaciones y actualizaciones.c) Identificación de eventos relacionados con la ocurrencia o materialización de los riesgos.

Revisión del impacto y la probabilidad de que dichos eventos pueden llegar a tener sobre lavaloración del mismo y las modificaciones o adiciones que se deban realizar sobre el plan detratamiento.

d) Revaloración de los niveles de riesgo identificados para actualizarlos, en caso de que seamerite.

e) Ajuste a los riesgos, cuando se presenten cambios en sus componentes (nombre, descripción,

causa, consecuencia).f) Identificación y valoración de nuevos riesgos derivados de cambios.g) Establecimientos de instancias de reporte, acordes con los roles y responsabilidades.h) Realización de seguimiento a las alertas y controles para los riesgos identificados.i) Revisión del nivel de riesgo residual y apetito de riesgo identificado.

NOTA: La revisión periódica de la valoración de los riesgos se realiza según los cambios en la organización, la tecnología,los objetivos y procesos del negocio, las amenazas identificadas, los eventos que hayan materializado los riesgos laeficacia de los controles implementados. Así como también los eventos externos, tales como cambios en el entornopolítico, legal o reglamentario, económico, social, tecnológico, ambiental en las obligaciones contractuales.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

71/93

El monitoreo debe considerar una retroalimentación sistemática, que brinde alertas tempranas del

avance registrado, en cuanto al logro de los resultados y los objetivos previstos.

Se deben mantener registros del monitoreo de los riesgos. (Véase 3.3.2)

6.1.5 COMUNICACIÓN DE LOS RIESGOS

Ecopetrol S.A. y sus subordinadas deben establecer canales transversales de comunicación parasocializar los resultados de cada una de las etapas del ciclo. Se debe asegurar el adecuado flujo deinformación entre los interesados o partes involucradas.

La comunicación debe asegurar la:

a) Generación de un lenguaje común de la cultura en materia de gestión de riesgos.

b) Identificación de sinergias entre las diferentes unidades organizativas, para robustecer lagestión de riesgos.

c) Retroalimentación de la gestión de riesgos, a través de la incorporación de las diferentesopiniones de los interesados o partes involucradas.

d) Divulgación de roles y responsabilidades en la gestión de riesgos. (Véase 2.1.3)e) Divulgación de los resultados de la aplicación de cada una de las etapas de la gestión de riesgos

u otra información relevante.f) Incorporación de la gestión de riesgos para la toma de decisiones.

Se deben mantener registros de las comunicaciones relacionadas con la gestión de riesgos (Véase3.3.2).

NOTA: La etapa de comunicación es transversal a todas las etapas del ciclo de gestión de riesgos.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

72/93

6.2 CONTROLES

El subelemento Controles tiene como finalidad agrupar todas las directrices y requisitos definidos porEcopetrol S.A. y referencias normativas nacionales e internacionales, requeridas para la adecuadagestión de los procesos, relacionados con la identificación de objetivos de control, las actividades decontrol y su articulación con los riesgos, con el fin de asegurar respuestas efectivas al riesgo y darseguridad razonable del alcance de los objetivos asociados.

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener lineamientos para laidentificación, ejecución, monitoreo y mejora de los controles, para responder a los riesgos y facilitar ellogro de los objetivos.

Se debe establecer, implementar y mantener uno o varios procedimientos documentados para:

a) Establecer los objetivos de control.

b) Formular los controles.c) Integrar los controles al SGCI.d) Asignar, recursos, funciones, roles y responsabilidades.e) Incluir criterios operacionales en los procedimientos.f) El monitoreo de la efectividad de los controles.g) Cubrir situaciones en las que su ausencia podría conducir a desviaciones de la política integral

de gestión y objetivos y metas.

NOTA 1: Es conveniente comunicar estos procedimientos a los grupos de interés, según aplique.

NOTA 2: Se considera que el control interno en una organización brinda seguridad razonable y no absoluta sobre el logrode los objetivos, dado que éste tiene limitaciones relacionadas al factor humano, disfunciones de los sistemas, entre otros.

6.2.1 IDENTIFICACIÓN DE CONTROLES

Ecopetrol S.A. y sus subordinadas deben identificar los controles que contribuyen a gestionar aquellosriesgos que pueden afectar el cumplimiento de los objetivos estratégicos, de procesos y de gestión. Sedebe considerar cualquier modificación y/o actualización en los procesos. La formulación de losobjetivos de control es condición previa a la definición de controles.

6.2.1.1

Definición de Objetivos de control

Ecopetrol S.A. y sus subordinadas deben establecer y formular los objetivos de control, que incluyan:

a) El propósito del objetivo de control.b) Las características que se quieren controlar.c) Los parámetros de referencia.

Para la formulación de objetivos de control se debe tener en cuenta el apetito y la tolerancia al riesgo.

NOTA 1: Un objetivo de control es una declaración del resultado deseado o del propósito que se debe alcanzar alimplementar un control.

NOTA 2: Son parámetros de referencia los lineamientos de la organización y marco estratégico, marco legal,procedimientos establecidos, estándares internacionales, definiciones de entes reguladores, leyes, entre otros, con loscuales se establece un parámetro a cumplir, guardando relación con los riesgos identificados.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

73/93

6.2.1.2 Formulación de controles

Para la formulación de los controles, se debe tener en cuenta:

a) Los objetivos, los riesgos y los objetivos de control.b) La clasificación de los controles, establecida por la organización.c) Su aplicabilidad a la organización y a sus actividades.d) La adquisición, diseño, instalación, operación, renovación y modificación de infraestructura,

instrumentación, equipos, software, hardware, servicios, entre otros.e) El alcance de aplicación del control.

NOTA: Cuando se determinan los controles que se van a implementar se pueden considerar, entre otros, las siguientesopciones:

a) Establecimiento de lineamientos y procedimientos.b) Incorporación y/o diseño de operaciones y/o actividades dentro de los procesos.c) Aplicación de prácticas administrativas, tales como capacitaciones, señalización, uso de elementos de protección

personal, restricciones de acceso a áreas.d) Implementación de acciones de mitigación.

Se deben mantener registros de los objetivos de control y de la implementación de los controles.(Véase 3.3.2)

6.2.1.3 Formulación de Objetivos de control y controles para la seguridad de la información

Adicionalmente, para la seguridad de la información se deben seleccionar los objetivos de control y loscontroles del Anexo C, en tanto sean adecuados para el tratamiento de los riesgos identificados. Sedebe elaborar una declaración de aplicabilidad que incluya:

a) Los objetivos de control y los controles, seleccionados y las razones para su selección.b) Los objetivos de control y los controles implementados actualmente.c) La exclusión de cualquier objetivo de control y controles enumerados en el Anexo C y la

justificación para su exclusión.

NOTA 1: El Anexo C contiene una lista amplia de objetivos de control y controles que comúnmente se han encontradopertinentes en las organizaciones. Se sugiere consultar el Anexo como punto de partida para la selección de controles, conel fin de asegurarse de que no se pasan por alto opciones de control importantes. Los objetivos de control y los controlespresentados en el Anexo no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controlesadicionales.

NOTA 2: La declaración de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de losriesgos de la seguridad de la información. La justificación de las exclusiones permite validar que ningún control se omitainvoluntariamente.

6.2.2 EJECUCIÓN Y MONITOREO DE LOS CONTROLES

Ecopetrol S.A. y sus subordinadas deben asegurar que los controles estén operando tal y como estándiseñados y descritos. Se deben establecer mecanismos de monitoreo para:

a) Determinar el funcionamiento de los controles.b) Conocer la efectividad de los controles.c) Identificar deficiencias.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

74/93

d) Definir oportunidades de mejora.

Estos mecanismos deben incluir, entre otros, autoevaluaciones, verificaciones periódicas del diseño yoperatividad de los controles, análisis de indicadores, evaluaciones independientes internas y externas,revisiones gerenciales, según corresponda. (Véase 7.6.9)

En caso de presentarse controles inefectivos, deben generarse y documentarse planes de mejoramientocon el fin de remediar las brechas identificadas. (Véase 7.7).





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

75/93

7. MONITOREO Y MEJORA

El elemento Monitoreo y Mejora tiene como finalidad agrupar y correlacionar los lineamientos yrequisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.,relacionados con la medición, seguimiento y análisis de objetivos, riesgos, controles, procesos,

productos, servicios, entorno y la relación con grupos de interés que orientan a la organización en latoma de decisiones y definición de planes de mejora y acciones de innovación.7.1 INNOVACIÓN EMPRESARIALEl subelemento Innovación Empresarial tiene como finalidad agrupar los lineamientos y requisitos delas referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos

para la adecuada gestión de los procesos, relacionados con investigación, diseño, desarrollo eimplementación de nuevos procesos, productos, servicios y métodos o el mejoramiento significativo delos mismos.

7.1.1 PLANIFICACIÓN DEL DISEÑO Y DESARROLLO

Ecopetrol S.A. y sus subordinadas deben planificar y controlar el diseño y desarrollo procesos,productos y/o servicios.

Durante la planificación del diseño y desarrollo la organización debe determinar:

a) Las etapas del diseño y desarrollo.b) La revisión, verificación y validación apropiadas para cada etapa del diseño y desarrollo yc) Las responsabilidades y autoridades para el diseño y desarrollo.

Ecopetrol S.A. y sus subordinadas deben gestionar las interfaces entre los diferentes gruposinvolucrados en el diseño y desarrollo, para asegurarse de una comunicación eficaz y una asignación de

responsabilidades clara.Los resultados de la planificación deben actualizarse, según sea apropiado, a medida que progresa eldiseño y desarrollo.

NOTA: El diseño y desarrollo no se limita al aspecto tecnológico, sino también a aquellos lineamientos, programas,proyectos, guías y todo aquello que se oriente a la realización del producto, prestación del servicio o mejoramiento deprocesos.

7.1.2 INFORMACIÓN DE ENTRADA PARA EL DISEÑO Y DESARROLLO

Se debe determinar la información de entrada relacionada con los requisitos del proceso, producto y/oservicio y mantenerse registros (Véase 3.3.2). La información de entrada debe incluir:

a) Los requisitos funcionales y de desempeño.b) Los requisitos legales y reglamentarios aplicables.c) La información proveniente de diseños previos similares, cuando sea aplicable.d) Cualquier otro requisito esencial para el diseño y desarrollo.

La información de entrada debe revisarse para comprobar que sea adecuada. Los requisitos debenestar completos, sin ambigüedades y no deben ser contradictorios.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

76/93

7.1.3 RESULTADOS DEL DISEÑO Y DESARROLLO

Los resultados del diseño y desarrollo deben proporcionarse de manera adecuada para la verificaciónrespecto a la información de entrada para el diseño y desarrollo, y deben aprobarse antes de suliberación. Los resultados del diseño y desarrollo deben:

a) Cumplir con los requisitos de la información de entrada para el diseño y desarrollo.b) Proporcionar información apropiada para el aprovisionamiento de bienes y servicios, la

producción y la prestación del servicio.c) Contener o hacer referencia a los criterios de aceptación del proceso, producto y/o servicio.d) Especificar las características del proceso, producto y/o servicio que son esenciales para el uso

seguro y correcto.

NOTA: La información para la producción y la prestación del servicio puede incluir detalles para la preservación delproducto y/o servicio.

7.1.4 REVISIÓN DEL DISEÑO Y DESARROLLO

En las etapas adecuadas, deben realizarse revisiones sistemáticas del diseño y desarrollo según loplanificado, para evaluar la capacidad de los resultados de diseño y desarrollo para cumplir losrequisitos e identificar cualquier problema y proponer las acciones necesarias.

Los participantes en dichas revisiones deben incluir representantes de las funciones relacionadas conla(s) etapa(s) de diseño y desarrollo que se está(n) revisando. Se deben mantener registros de losresultados de las revisiones y de cualquier acción necesaria. (Véase 3.3.2)

7.1.5 VERIFICACIÓN DEL DISEÑO Y DESARROLLO

Se debe realizar la verificación, según lo planificado (véase el numeral 7.1.1), para asegurarse de quelos resultados del diseño y desarrollo cumplen los requisitos de la información de entrada del diseño ydesarrollo. Se deben mantener registros de los resultados de la verificación y de cualquier acción quesea necesaria (Véase 3.3.2).

NOTA: La etapa de verificación se cumple cuando se compara los requisitos de entrada contra el proceso, producto y/oservicio (resultado del diseño).

7.1.6 VALIDACIÓN DEL DISEÑO Y DESARROLLO

Se debe realizar la validación del diseño y desarrollo según lo planificado (Véase 7.1.1), paraasegurarse de que el proceso, producto y/o servicio resultante es capaz de satisfacer los requisitos

para su aplicación especificada o uso previsto, cuando sea conocido.

Siempre que sea factible, la validación debe completarse antes de la entrega o implementación delproceso, producto y/o servicio. Deben mantenerse registros de los resultados de la validación y decualquier acción que sea necesaria (Véase 3.3.2).

NOTA 1: La revisión, la verificación y la validación del diseño y desarrollo tienen propósitos diferentes. Pueden llevarse acabo y registrarse de forma separada o en cualquier combinación que sea adecuada.NOTA 2: La etapa de validación se cumple cuando se compara el proceso, producto y/o servicio (resultado del diseño)contra los requisitos para su aplicación.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

77/93

7.1.7 CONTROL DE LOS CAMBIOS DEL DISEÑO Y DESARROLLO

Los cambios se deben identificar, revisar, verificar y validar, según sea apropiado, y aprobarse antes desu implementación. La revisión de los cambios del diseño y desarrollo debe incluir la evaluación delefecto de los cambios en las partes constitutivas del producto y/o servicio, o etapas del proceso yaentregado.

Se deben mantener registros de los resultados de la revisión de los cambios y de cualquier acción quesea necesaria (Véase 3.3.2).

7.2 EVALUACIÓN DE LA ESTRATEGIAEl subelemento Evaluación de la Estrategia tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A.,requeridos para la adecuada gestión de los procesos y relacionados con el análisis de los resultados

de la ejecución de la estrategia (Misión, Visión, Megas, lineamientos estratégicos, objetivosestratégicos, valores y competencias organizacionales, Política integral y Plan de negocios) y losresultados de la alineación y despliegue, para la toma de decisiones efectivas.

Ecopetrol S.A. y sus subordinadas deben planificar e implementar lineamientos relacionados con elanálisis de la ejecución de la estrategia, los resultados de la alineación y despliegue, para la toma dedecisiones efectivas y ajustes a la estrategia cuando sea necesario.

Estos lineamientos deben incluir:

a) La definición de espacios sistemáticos de seguimiento, responsables y frecuencias de reportes,teniendo en cuenta la fecha de juntas directivas y comités.

b) La recolección, consolidación y evaluación de la información del desempeño de las unidadesorganizativas y de la organización.

c) La generación de alertas frente a los resultados del desempeño, retroalimentación a lasunidades organizativas que lo requieran.

d) La implementación de planes de mejoramiento acordes con los resultados obtenidos.e) La generación de información pertinente para evaluación de la estrategia del período siguiente.

7.2.1 INFORMACIÓN DE ENTRADA

La información de entrada para la evaluación de la estrategia debe incluir:

a) Asuntos de interés corporativo que puedan impactar a la organización.b) Lineamientos organizacionales.c) Análisis del entorno interno y externod) Resultados del desempeño empresarial y proyecciones de indicadores del tablero balanceado de

gestión.e) Cumplimiento del marco estratégico, planes y programas de interés corporativos.f) Comportamiento de riesgos de la organización y su incidencia en el cumplimiento de los

objetivos estratégicos, estado de los planes de tratamiento, comportamiento de los indicadoresde riesgo, seguimiento a eventos y alarmas de riesgo.

g) Resultados de evaluaciones de la estrategia anteriores.h) Resultados de planes de mejoramiento.(Véase 7.7)





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

78/93

NOTA 1: La información relacionada con el análisis externo del entorno puede incluir estudios de benchmarking(funcionales, internos y competitivos).

NOTA 2: La organización puede realizar la evaluación de la estrategia en conjunto con la evaluación del SGCI, teniendo encuenta la información de entrada (Véase 7.3.1)

7.2.2 RESULTADOS DE EVALUACIÓN DE LA ESTRATEGIA

Los resultados de la evaluación de la estrategia deben incluir entre otros aspectos:

a) Resultados del avance de la ejecución de la estrategia.b) Resultados logrados frente a las metas acordadas.c) Planteamiento de planes de mejoramiento relacionados.

Se deben mantener registros de los resultados de las evaluaciones de la estrategia (Véase 3.3.2).

7.3 REVISIÓN DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRALEl subelemento Revisión del Sistema de Gestión y Control Integral tiene como finalidad agrupar loslineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos porEcopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la recolección yel análisis de resultados para verificar la adecuación, conveniencia, eficacia, eficiencia, efectividad ymadurez del SGCI para la toma de decisiones por la Alta Dirección.

La Alta Dirección debe revisar el SGCI de la organización, a intervalos planificados y cuando ocurrancambios importantes, para asegurarse de su propiedad, conveniencia, suficiencia, adecuación, eficacia,eficiencia y efectividad. La revisión debe realizarse por lo menos una vez al año de acuerdo con un

cronograma y un procedimiento predeterminados.Durante la revisión del SGCI, se debe identificar cualquier desviación respecto al desempeño esperadoy se deben iniciar y reportar las medidas de administración adecuadas.

NOTA: La frecuencia de la revisión debería determinarse en función de las necesidades de Ecopetrol S.A. y sussubordinadas es aconsejable que se realice cuando la información de entrada para el proceso de revisión puedaproporcionar resultados, que permitan determinar oportunamente la conveniencia, suficiencia, adecuación, eficacia,eficiencia y efectividad del SGCI.

7.3.1 INFORMACIÓN DE ENTRADA PARA LA REVISIÓN DEL SGCI

La información de entrada para la revisión del SGCI por la Alta Dirección debe incluir cuando aplique:

a) Grado de cumplimiento de objetivos y metas, incluyendo los objetivos generales de loslaboratorios, según aplique.

b) Resultados de cumplimiento con los requisitos legales aplicables y otros requisitos que laorganización suscriba.

c) Desempeño de los procesos y la conformidad del producto y/o servicio; desempeño deseguridad industrial, seguridad de procesos operacionales, salud ocupacional y medioambiente,desempeño de la continuidad del negocio, desempeño de la seguridad de la cadena desuministro.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

79/93

d) Actividades de ensayo y/o calibración de los laboratorios, adecuación de los lineamientos y

procedimientos, informes del personal directivo y de supervisión; resultados de lascomparaciones interlaboratorios o de los ensayos de aptitud y otros factores como actividadesde control de calidad, los recursos y la formación del personal.

e) Seguimiento a los comportamientos éticos de los trabajadores en concordancia con losprincipios y valores de la organización.

f) Comunicación(es) relevante(s) de los grupos de interés, incluyendo quejas, observacionesindependientes y retroalimentación.

g) Gestión realizada sobre los riesgos identificados para la organización (Véase 6.1), incluidosvulnerabilidades o amenazas no tratadas o valoradas adecuadamente.

h) Monitoreo del control interno (véase 7.6.9).i) Estado de las investigaciones de incidentes y lecciones aprendidas.

j) Resultados de participación y consulta.

k) Los resultados del monitoreo y revisión de los planes de continuidad de negocio, incluyendoresultados de las pruebas realizadas a los mismos.

l) Resultados del programa de educación y concienciación.m) Los resultados de las evaluaciones independientes internas y externas.n) Las acciones de seguimiento de revisiones previas al SGCI efectuadas por la Alta Dirección,

incluidas las mediciones de la eficacia, eficiencia y efectividad.o) El estado de planes de mejoramiento. (Véase 7.7)p) Todos los cambios que podrían afectar al SGCI.q) Recomendaciones para la mejora, incluidas buenas prácticas y orientaciones nuevas para la

continuidad del negocio.

NOTA: El monitoreo del control interno incluye la revisión de todos sus componentes: ambiente interno, establecimiento

de objetivos, identificación de eventos, valoración de riesgos, respuesta al riesgo, actividades de control, información ycomunicación y monitoreo.

7.3.2 RESULTADOS DE LA REVISIÓN

Los resultados de la revisión por la dirección deben incluir cualquier decisión y acción relacionada con:

a) La política integral de gestión, alcance, objetivos y metas.b) La eficacia, eficiencia y efectividad del SGCI y sus procesos, la mejora del producto y/o servicio

en relación con los requisitos del cliente y la mejora a la manera en que se mide la eficacia delos controles.

c) La actualización de la valoración de riesgos y de los planes de tratamiento y la identificación de

nuevos riesgos.d) Modificación de la estrategia de continuidad de negocio y procedimientos de continuidad delnegocio necesarios para responder a eventos internos y externos.

e) La estrategia, procedimientos y controles del SGCI, según sea necesario para responder a loseventos internos o externos que pudieran impactar en el sistema, incluidos cambios a losrequerimientos de la organización, cambios en cuanto a la capacidad de resistencia a lasafectaciones de un incidente, cambios en los procesos de la organización, cambios en losrequerimientos legales, regulatorios y contractuales y niveles de riesgo y/o niveles deaceptación del riesgo, cambios en el alcance del SGCI.

f) Las necesidades de recursos.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

80/93

Se deben mantener registros de los resultados de las revisiones efectuadas por la dirección y lasacciones que surjan. (Véase 3.3.2). Los registros deben estar disponibles para comunicación yconsulta.

7.4 EVALUACIÓN DE LA SATISFACCIÓNEl subelemento Evaluación de la Satisfacción tiene como finalidad agrupar los lineamientos y requisitosde las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos

para la adecuada gestión de los procesos, relacionados con la evaluación de la percepción conrespecto al cumplimiento de los requisitos legales, compromisos, necesidades y expectativas de losgrupos de interés, para la toma de decisiones y el mejoramiento continuo de los procesos, productos yservicios.

Como una de las medidas del desempeño del SGCI, Ecopetrol S.A. y sus subordinadas deben realizar el

seguimiento de la información relativa a la percepción de los grupos de interés respecto alrelacionamiento y cumplimiento de sus requisitos y compromisos por parte de la organización.Se deben determinar los métodos para:

a) Obtener, analizar y utilizar información relativa a la percepción, expectativas e intereses, tantopositivos como negativos, de los grupos de interés.

b) Evaluar la necesidad de implementar planes de mejoramiento e implementarlos cuandocorresponda. (Véase 7.7)

Se deben establecer e implementar uno o varios procedimientos para evaluar la percepción de losgrupos de interés, el cual debe incluir, como mínimo:

c) Definición del método para obtener la información.

d) Los criterios y métodos para la medición de la percepción.e) La frecuencia de evaluación de la percepción.f) Los espacios sistemáticos de análisis y seguimiento.g) Los roles y responsabilidades de quiénes obtienen, analizan y toman decisiones sobre la

información.h) Los medios por los cuales se informará los resultados y las acciones a tomar con respecto a la

percepción de los grupos de interés.

NOTA 1: El seguimiento de la percepción de los grupos de interés puede incluir la obtención de elementos de entrada defuentes como las encuestas de satisfacción de los grupos de interés, los datos del cliente sobre la calidad del producto y/oservicio (por ejemplo, indicador de entregas perfectas), ensayos y/o calibraciones, los resultados de los mecanismos departicipación ciudadana, las encuestas de opinión del usuario, el análisis de la pérdida de negocios, las peticiones, quejas,reclamos, sugerencias, las felicitaciones, las garantías utilizadas, los informes de los agentes comerciales, mercancíasdevueltas, entre otros.

NOTA 2: Los resultados de la evaluación de la percepción pueden ser tomados como información de entrada para laidentificación y valoración de los riesgos. (Véase 6.1.2)

NOTA 3: Son considerados grupos de interés para una organización: los accionistas e inversionistas; los clientes;empleados, pensionados y familiares; sociedad y comunidad; Estado; socios; contratistas y sus empleados, entre otros.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

81/93

7.5 EVALUACIÓN INDEPENDIENTE

El subelemento Evaluación Independiente tiene como finalidad agrupar los lineamientos y requisitos delas referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la evaluación de la gestión y del controlinterno, realizada por un tercero independiente interno o externo, con el fin de verificar que el Sistemade Gestión y Control Integral opere de conformidad con lo establecido y se mantiene de manera eficaz,eficiente y efectiva.

Ecopetrol S.A. y sus subordinadas deben llevar a cabo, a intervalos planificados, evaluacionesindependientes para:

a) Determinar si el SGCI, procesos y procedimientos:1) Son conformes con las disposiciones planificadas, legislación o reglamentaciones

pertinentes, los contractuales, los requisitos de este marco y los requisitos del SGCI

establecidos por la organización.2) Se han implementado y se mantienen de manera eficaz, eficiente y efectiva.3) Tienen un desempeño acorde con lo esperado.4) Apalancan el cumplimiento de la política integral de gestión, objetivos y metas.

b) proporcionar información a la dirección sobre los resultados de las evaluaciones independientes.c) revisar los resultados de evaluaciones independientes anteriores y los planes de mejoramiento

emprendidas para las no conformidades.

NOTA: Las evaluaciones independientes internas denominadas algunas veces auditorías de primera parte, las realiza lapropia organización u otra organización en su nombre, para propósitos internos.

7.5.1 PROCEDIMIENTO DE EVALUACIÓN INDEPENDIENTE

Se debe establecer, implementar y mantener uno o varios procedimientos documentados para:

a) Definir las responsabilidades y competencias de los evaluadores del SGCI.b) Definir los requisitos para planificar y realizar las evaluaciones independientes.c) Informar sobre los resultados y mantener los registros asociados (ver 3.3).d) Determinar las técnicas y herramientas de evaluación a utilizar, tales como: entrevistas al

personal operativo o que resulte afectado por el SGCI, observación de las actividades, revisiónde documentos, listas de comprobación, cuestionarios y técnicas de diagramas de flujo,registros de funcionamiento o una combinación de procedimientos.

e) Determinar los criterios de la evaluación independiente, su alcance, frecuencia y métodos yf) Establecer mecanismos de seguimiento al desempeño de los evaluadores.

Se deben mantener registros de las evaluaciones independientes y sus resultados, (Véase 3.3.2).Cuando se realicen evaluaciones independientes, los registros de dicha evaluación deben incluir:

g) Hallazgos de la evaluación independiente.h) Descripciones de las pruebas y los análisis efectuados durante la evaluación.i) Hallazgos de incumplimientos sobre requerimientos legales, regulatorios y contractuales,

cuando aplique.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

82/93

La información resultado de las evaluaciones independientes debe ser comunicada a los niveles

pertinentes dentro de la organización y según su relevancia, para que se aseguren de realizar lascorrecciones y tomar las acciones correctivas necesarias sin demora injustificada, para eliminar las noconformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación delas acciones tomadas y el informe de los resultados de la verificación donde se registre laimplementación y eficacia de las acciones correctivas tomadas. (Véase 7.7.3).

Para los laboratorios, cuando los hallazgos de la evaluación independiente pongan en duda la eficaciade las operaciones o la exactitud o la validez de los resultados de los ensayos o de las calibraciones delos laboratorios, éste debe tomar las acciones correctivas oportunas y si las investigaciones revelan quelos resultados de los laboratorios pueden haber sido afectados, debe notificarlo por escrito a losclientes.

NOTA 1: Cuando se trate de evaluaciones independientes a los estados financieros, los resultados de esta evaluaciónincluyen los hallazgos sobre deficiencias en el control interno, recomendaciones para mejorar dichas deficiencias yrecomendaciones adicionales de acciones necesarias para alcanzar los objetivos establecidos.

NOTA 2: Véase la norma NTC-ISO 19011, a modo de orientación.

NOTA 3: En caso de realizar evaluaciones independientes a procesos que manejen secretos industriales, y el equipoevaluador requiera información clasificada es conveniente suscribir acuerdos de confidencialidad.

NOTA 4: Para la realización de evaluaciones independientes pueden utilizarse listas de verificación corporativas odocumentos equivalentes.

7.5.2

PROGRAMA DE EVALUACIÓN INDEPENDIENTE

Ecopetrol S.A. y sus subordinadas deben planificar, establecer, implementar y mantener un(os)

programa (s) de evaluaciones independientes tomando en consideración:

a) Cambios importantes en la estrategia o gestión.b) El estado y la importancia de los procesos y la criticidad de las áreas por evaluar,c) La importancia ambiental de las operaciones implicadas.d) Las valoraciones de riesgos de la organización.e) La competencia y experiencia del personal que implanta las respuestas a los riesgos y sus

controles correspondientes.f) El análisis de impacto del negocio (BIA).g) Las actividades de ensayo y calibración, según aplique.h) Adquisiciones o enajenaciones.i) Cambios en las condiciones económicas o lineamientos.

j) Cambios en las operaciones o los métodos de procesamiento de datos.k) Los resultados de evaluaciones independientes previas.l) Los resultados del monitoreo permanente y las acciones emprendidas para rectificar las no

conformidades.

Se deben definir los criterios de la evaluación independiente, su alcance, su frecuencia y metodología.

NOTA: En algunas organizaciones, la responsabilidad por la planificación, coordinación y elaboración del cronograma de lasevaluaciones independientes puede ser asignada a quien dirige el Sistema de gestión y Control de la Organización.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

83/93

7.5.3 OBJETIVIDAD E IMPARCIALIDAD DE LOS EVALUADORES

La selección de los evaluadores del SGCI y la realización de las evaluaciones independientes debenasegurar la objetividad e imparcialidad del proceso de evaluación independiente. Los evaluadores delSGCI no deben evaluar su propio trabajo.

Las evaluaciones independientes deben ser realizadas por personal competente que debe serindependiente a la actividad evaluada. Los evaluadores del SGCI deben entender cada actividad delproceso que se va a evaluar y los requisitos del SGCI que se van evaluar. (Véase 2.1.3.4)

Cuando la identificación de no conformidades o desvíos ponga en duda el cumplimiento delineamientos, procedimientos y los requisitos del SGCI, Ecopetrol S.A. y sus subordinadas debenasegurarse de que las actividades sean evaluadas, tan pronto como sea posible.

NOTA 1: Tales evaluaciones independientes adicionales frecuentemente siguen la implementación de las accionescorrectivas para confirmar su eficacia. Una evaluación independiente adicional solamente debería ser necesaria cuando seidentifique un problema serio o un riesgo para la organización.

NOTA 2: Los requisitos de las evaluaciones independientes son aplicables a las auditorías del control interno, las cuales sonrealizadas por una firma de contabilidad pública registrada, que prepara y emite una opinión sobre el control interno de laorganización.

7.6 MONITOREO A LAS OPERACIONES, RIESGOS Y CONTROLESEl subelemento Monitoreo a las operaciones, riesgos y controles tiene como finalidad agrupar loslineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos porEcopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la identificación yaplicación de actividades para hacer monitoreo periódico de las operaciones, riesgos y controles paraasegurar la eficacia, eficiencia y efectividad del Sistema de Gestión y Control Integral.

Ecopetrol S.A. y sus subordinadas deben aplicar métodos apropiados para el monitoreo de los procesosdel SGCI, y cuando sea posible, su medición. Estos métodos deben demostrar la capacidad de losprocesos para alcanzar los resultados planificados (eficacia) así como el manejo de los recursosdisponibles (eficiencia).


a) Identificar datos disponibles para medir los objetivos y recolectar información oportuna y precisapara reportar el avance contra las metas.

b) Definir indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño.c) Tomar medidas pertinentes cuando existan desviaciones.

NOTA: El monitoreo y la medición del impacto (efectividad) de la gestión en el logro de los resultados planificados y en elmanejo de los recursos utilizados, puede realizarse por proceso, por conjunto de procesos o en forma global para el SGCI.

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener uno o variosprocedimientos para hacer monitoreo y medir regularmente el desempeño del SGCI. Este (os)procedimiento (s) deben prever:

d) Medidas cuantitativas y cualitativas apropiadas para las necesidades de la organización.e) Monitoreo del grado en el que se cumplen la política de gestión integral, objetivos y metas

específicos para la gestión.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

84/93

f) Monitoreo de los riesgos. (véase 6.1.4)

g) Monitoreo a la eficacia, eficiencia y efectividad de los controles.h) Monitoreo de la capacidad de los recursos de TI, la infraestructura y el cumplimiento de los

niveles de servicio.i) Medidas proactivas de desempeño con las que se haga seguimiento a la conformidad con el

(los) programa(s), controles y criterios operacionales de gestión, los requisitos legalesaplicables y otros requisitos que la organización suscriba.

j) Medidas reactivas de desempeño para monitoreo de riesgos (enfermedades, incidentes y otrasevidencias históricas de desempeño deficiente, deterioro, fallas, no conformidades, incluidas lasfallas que estuvieron a punto de ocurrir y las falsas alarmas) y

k) Registro suficiente de los resultados del monitoreo y medición. (Véase 3.3.2)

Como resultado del monitoreo de la medición y monitoreo de los procesos, deben llevarse a caboplanes de mejoramiento, según sea conveniente. (Véase 7.7).

Los resultados del monitoreo y medición deben estar disponibles para consulta.

NOTA: Para el monitoreo y la medición de los procesos, se pueden emplear métodos como las autoevaluaciones,indicadores, encuestas, seguimiento al avance de los proyectos, cronogramas, entre otros.

7.6.1 MONITOREO Y MEDICIÓN DEL PRODUCTO Y/O SERVICIO

Ecopetrol S.A. y sus subordinadas deben hacer monitoreo y medir las características del producto y/oservicio, para verificar que se cumplen sus requisitos. Esto debe realizarse en las etapas apropiadas delproceso de realización del producto y/o prestación del servicio según las disposiciones planificadas(Véase 4.3.1). Debe mantenerse evidencia de la conformidad con los criterios de aceptación.

Los registros deben indicar la(s) persona(s) que autoriza(n) la entrega del producto y/o prestación delservicio al cliente (Véase 3.3.2).

La liberación del producto o la prestación el servicio no debe llevarse a cabo hasta que se hayancompletado satisfactoriamente las disposiciones planificadas, a menos que sean aprobados de otramanera por una autoridad pertinente y, cuando corresponda por el cliente.

7.6.2 CONTROL DEL PRODUCTO Y/O SERVICIO NO CONFORME

Ecopetrol S.A. y sus subordinadas deben asegurarse de que el producto y/o servicio que no seaconforme con los requisitos establecidos, se identifica y controla para prevenir su uso o entrega nointencionados. Se debe establecer un procedimiento documentado para definir los controles y las

responsabilidades y autoridades relacionadas para tratar el producto y/o servicio no conforme.Ecopetrol S.A. y sus subordinadas deben tratar los productos y/o servicios no conformes identificados,de acuerdo con sus características, mediante una o más de las siguientes maneras:

a) La definición de acciones para eliminar la no conformidad identificada.b) La autorización de su uso, aceptación bajo concesión por una autoridad pertinente y, cuando

sea aplicable, por el cliente.c) La definición de acciones para impedir su uso o aplicación originalmente prevista.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

85/93

d) La toma de acciones apropiadas a los efectos, reales o potenciales, de la no conformidad

identificada, cuando un producto y/o servicio no conforme después de su entrega o cuando yaha comenzado su uso.

Cuando se corrija un producto y/o servicio no conforme debe someterse a una nueva verificación parademostrar su conformidad con los requisitos.

Se deben mantener registros (Véase 3.3.2) de la naturaleza de las no conformidades y de cualquieracción tomada posteriormente, incluidas las concesiones que se hayan obtenido.

7.6.3 CONTROL DE LOS TRABAJOS DE ENSAYOS Y/O DE CALIBRACIONES NO CONFORMES

El laboratorio debe tener lineamientos y procedimientos que se deben implementar cuando cualquieraspecto de su trabajo de ensayo y/o de calibración o el resultado de dichos trabajos, no son conformescon sus propios procedimientos o los requisitos acordados con el cliente. Los lineamientos y losprocedimientos deben asegurar que:

a) Cuando se identifique el trabajo no conforme, se asignen las responsabilidades y lasautoridades para la gestión del trabajo no conforme, se definan y tomen las acciones (incluidala detención del trabajo y la retención de los informes de ensayos y certificados de calibraciónsegún sea necesario).

b) Se evalúe la importancia del trabajo no conforme.c) Se realice la corrección inmediatamente y se tome una decisión respecto de la aceptabilidad de

los trabajos no conformes.d) Si fuera necesario, se notifique al cliente y se anule el trabajo.e) Se defina la responsabilidad para autorizar la reanudación del trabajo.

NOTA: Se pueden identificar trabajos no conformes o problemas con el sistema de gestión o con las actividades de ensayoy/o de las calibraciones en diversos puntos del sistema de gestión y de las operaciones técnicas.

Cuando el monitoreo indique que el trabajo no conforme podría volver a ocurrir o existan dudas sobreel cumplimiento de las operaciones de los laboratorios con sus propios lineamientos y procedimientos,se debe aplicar el procedimiento de acciones correctivas. (Véase 7.7.3)

7.6.4 MONITOREO DE LOS PROGRAMAS DE GESTIÓN

Los programas de gestión deben revisarse periódicamente para asegurar que se mantienen efectivos ycoherentes con los objetivos y metas. Cuando sea necesario, los programas se deben ajustarconsecuentemente.

NOTA: En la organización, pueden existir programas de gestión relacionados con la seguridad industrial y saludocupacional, medio ambiente, seguridad de la cadena de suministro, seguridad de la información, entre otros.

7.6.5 MONITOREO DE LA VALIDEZ DE LOS ENSAYOS Y LAS CALIBRACIONES

Los laboratorios debe tener procedimientos de control de la calidad para realizar el monitoreo de lavalidez de los ensayos y las calibraciones llevadas a cabo. Los datos resultantes deben ser registradosen forma tal que se puedan detectar las tendencias y, cuando sea posible, se deben aplicar técnicasestadísticas para la revisión de los resultados. Dicho monitoreo, debe ser planificado y revisado ypuede incluir, entre otros, los elementos siguientes:





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

86/93

a) El uso regular de materiales de referencia certificados y/o un control de la calidad internoutilizando materiales de referencia segundarios.b) La participación en comparaciones interlaboratorios o programas de ensayo de aptitud.c) La repetición de ensayos o calibraciones con la utilización del mismo método o métodos

diferentes.d) La repetición del ensayo o de la calibración de los objetos retenidos.e) La correlación de los resultados para diferentes características de un ítem.

NOTA: Es conveniente que los métodos seleccionados sean apropiados para el tipo y volumen de trabajo que se realiza.

Los datos de control de calidad de los ensayos y las calibraciones deben ser analizados y, si nosatisfacen los criterios predefinidos, se deben tomar las acciones planificadas para corregir el problemay evitar consignar resultados incorrectos (Véase 7.7)

7.6.6 MONITOREO Y REVISIÓN DE LOS PLANES DE CONTINUIDAD DEL NEGOCIO

Ecopetrol S.A. y sus subordinadas deben revisar a intervalos planificados y cuando se produzcancambios significativos en la organización, los planes de continuidad del negocio, para garantizar lapropiedad, idoneidad y efectividad actual y brindar después de un incidente la confianza de que lasactividades críticas se reiniciarán en la medida que se requiera. Esta revisión debe realizarse por mediode autoevaluaciones o evaluaciones independientes.

En caso de que se produzca un incidente, como resultado de la invocación del plan de continuidad delnegocio (BCP) o del plan de gestión de incidentes (IMP), debe realizarse una revisión posterior alincidente para:

a) Identificar la naturaleza y causa del incidente.b) Evaluar la propiedad de la respuesta gerencial.c) Evaluar la efectividad de la organización para cumplir sus objetivos de reiniciación en cuanto al

tiempo.d) Evaluar la propiedad de los planes de BCM en cuanto a la preparación de los empleados para el

incidente.

7.6.7 MONITOREO DEL CUMPLIMIENTO DE REQUISITOS LEGALES Y OTROS

En coherencia con su compromiso de cumplimiento legal, (1.2), Ecopetrol S.A. y sus subordinadasdeben establecer, implementar y mantener un(os) procedimiento(s) para monitorear periódicamente elcumplimiento de los requisitos legales aplicables y otros requisitos que la organización suscriba y laconformidad con su propia política integral de gestión, objetivos y metas (1.2). Se debe confirmar quelos proveedores de servicios externos cumplen con los requerimientos legales y regulatorios yobligaciones contractuales.

Adicionalmente, para la seguridad de la cadena de suministro se debe evaluar periódicamente laconformidad con las mejores prácticas industriales.

La organización debe mantener registros de los resultados de las del monitoreo del cumplimiento de losrequisitos legales aplicables y otros requisitos que la organización suscriba.







CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

88/93

7.7 PLANES DE MEJORAMIENTO

El subelemento Planes de Mejoramiento tiene como finalidad agrupar los lineamientos y requisitos delas referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., relacionadoscon la identificación y análisis de causa raíz de situaciones o hallazgos para la definición,implementación, seguimiento y aseguramiento de la efectividad de las acciones definidas para elmejoramiento continuo del Sistema de Gestión y Control Integral.

7.7.1 MEJORA CONTINUA

Ecopetrol S.A. y sus subordinadas debe mejorar continuamente la eficacia, eficiencia y efectividad delSGCI mediante el uso de los resultados de:

a) La evaluación de la estrategia. (Véase 7.2)b) La revisión del SGCI por la Alta Dirección.(Véase 7.3)

c) La Evaluación de la satisfacción.(Véase 7.4)d) Las evaluaciones independientes. (Véase 7.5)e) Monitoreo a las operaciones, riesgos y controles.(Véase 7.6)f) El seguimiento a los planes de mejoramiento emprendidos.

7.7.2

ACCIÓN PREVENTIVA

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener uno o variosprocedimientos documentados para eliminar las causas de no conformidades potenciales para prevenirsu ocurrencia. Las acciones preventivas deben ser apropiadas a los efectos de los problemaspotenciales.

El (los) procedimiento (s) debe (n) definir los requisitos para:

a) Determinar las no conformidades potenciales y analizar sus causas.b) Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades y aprovechar

las oportunidades de mejora.c) Determinar e implementar las acciones necesarias.d) Registrar los resultados de las acciones tomadas (Véase 3.3.2).e) Revisar y asegurar la eficacia de las acciones preventivas tomadas.f) Garantizar que todos aquellos que deban saber, estén informados de la no conformidad y de la

acción preventiva tomada.g) Priorizar las acciones preventivas con base en los resultados de la valoración de riesgos y el

análisis del impacto del negocio (BIA).

La organización debe asegurar que cualquier cambio necesario, que surja de la acción preventiva, seincluya en la documentación del SGCI.

Los eventos que impliquen oportunidades deben ser canalizados hacia los procesos de la dirección enque se establecen la estrategia y objetivos de la organización, de forma que puedan formularseacciones para aprovechar las oportunidades.

NOTA 1: Para evitar que los riesgos se materialicen, disminuir su probabilidad de ocurrencia o su impacto es necesariotomar acciones preventivas.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

89/93

NOTA 2: La acción preventiva es un proceso proactivo destinado a identificar oportunidades de mejora, más que una

reacción destinada a identificar problemas o quejas.NOTA 3: Aparte de la revisión de los procedimientos operacionales, la acción preventiva podría incluir el análisis de datos,incluido el análisis de tendencias, el análisis del riesgo y el análisis de los resultados de la operación.

7.7.3 ACCIÓN CORRECTIVA

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener uno o variosprocedimientos documentados para tomar acciones para eliminar las causas de las no conformidadesreales o desvíos de los lineamientos y procedimientos del SGCI, con objeto de prevenir que vuelvan aocurrir. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidadesencontradas.

El (los) procedimiento (s ) debe (n) definir los requisitos para:

a) Revisar las no conformidades (incluyendo las quejas y reclamos de los clientes).b) Determinar las causas de las no conformidades,c) evaluar la necesidad de adoptar acciones para asegurarse de que las no conformidades no

vuelvan a ocurrir.d) Identificar las acciones correctivas posibles.e) Seleccionar la o las acciones con mayor posibilidad de eliminar el problema.f) Implementar las acciones necesarias para asegurarse de que las no conformidades no vuelvan a

ocurrir y designar personas apropiadamente autorizadas para implementarlas.g) Registrar los resultados de las acciones tomadas (Véase 3.3.2).h) Revisar la eficacia de las acciones correctivas tomadas.

Ecopetrol S.A. y sus subordinadas deben asegurarse de que cualquier cambio necesario, que surja de laacción correctiva, se incorpore a la documentación del SGCI.

Cuando la acción correctiva y la acción preventiva identifican riesgos nuevos o que han cambiado, o lanecesidad de controles nuevos modificados, el procedimiento debe exigir que las acciones propuestassean revisadas a través del proceso de valoración del riesgo antes de su implementación.

NOTA: Cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad deque vuelva a suceder.

7.7.4 INVESTIGACIÓN DE INCIDENTES

La organización debe establecer, implementar y mantener un(os) procedimiento(s) para notificar,

reportar, registrar, investigar, valorar y analizar incidentes, con el fin de:

a) Determinar las deficiencias del SGCI que no son evidentes, y otros factores que podrían causaro contribuir a que ocurran incidentes.

b) Identificar las oportunidades de aplicar una acción preventiva.c) Identificar la necesidad de aplicar una acción correctiva.d) Identificar las oportunidades de mejora continua.e) Comunicar el resultado de estas investigaciones.f) Tomar acciones apropiadas a los efectos de los problemas potenciales.





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

90/93

Las investigaciones se deben llevar a cabo de manera oportuna. Se deben mantener registros de los

resultados de las investigaciones de incidentes y el análisis de sus causas. (Véase 3.3.2 y 7.7.5)

7.7.5 ANÁLISIS DE LAS CAUSAS

Tanto el procedimiento de acciones preventivas, correctivas y de investigación de incidentes debenincluir una investigación para analizar y determinar la causa raíz. En caso de que el impacto se vuelvasevero, se debe escalar el incidente a los niveles que se considere conveniente para analizar la causa.

NOTA 1: El análisis de las causas es la parte más importante y, a veces, la más difícil en los procedimientos de lasacciones preventivas, correctivas e investigación de incidentes. Frecuentemente, la raíz no es evidente y por lo tanto serequiere un análisis cuidadoso de todas las causas potenciales del problema.

NOTA 2: En el caso de los laboratorios, las causas potenciales podrían incluir los requisitos del cliente, las muestras, lasespecificaciones relativas a las muestras, los métodos y procedimientos, las habilidades, y la formación del personal, los

materiales consumibles o los equipos y su calibración.

NOTA 3: La causa raíz desconocida de uno o más incidentes, en términos de TI, se denomina problema. Los pasosinvolucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes: determinar la categoría,impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en grupos o dominios relacionados(por ejemplo, hardware, software, software de soporte).





CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

91/93

BIBLIOGRAFIA

1. ECOPETROL S.A. Código de Buen gobierno Ecopetrol S.A. ECP-UIC-G-003. Julio 09 de 2010. 46p.

2. ECOPETROL S.A. Código de Ética Ecopetrol S.A.(http://www.ecopetrol.com.co/especiales/codigoEtica_/observar_codEtica.html) 7 p.

3. Asociación Española de Normalización y Certificación. AENOR (2006 a). Gestión de la I+D+I.Sistema de VT. UNE 166006 EX.

4. ECOPETROL S.A. Guía de aseguramiento del conocimiento para Ecopetrol ECP-ICP-G-010versión 3 Noviembre 30 de 2009. 45 p.

5. ECOPETROL S.A. Guía para el manejo contable y tributario de los activos fijos en Ecopetrol S.A.ECP-UIC-G-003 Versión 01 Mayo 28 de 2010. 57 p.

6. ECOPETROL S.A. Instructivo para enajenación de materiales y activos no requeridos para laoperación ECP-DAB-I-020. Versión 03 Marzo 18 de 2011. 16 p.

7. ECOPETROL S.A. Gestión de programas y proyectos en ecopetrol.ECP-DPY-M-001 Versión 02Enero 15 de 2010. 34 p.

8. ECOPETROL S.A. Instructivo para la gestión de controles. ECP-VEC-I-013. Versión 01 Junio 28de 2011. 12 p.

9. ECOPETROL S.A. Lineamiento para gestión de proyectos en el grupo empresarial. ECP-DPY-G-039. Versión 01 Diciembre 22 de 2010. 21 p.

10. ECOPETROL S.A. Manual de gestión de riesgos. ECP-UGR-M-002. Versión 02 Mayo 27 de 2010.24 p.

11. ECOPETROL S.A. Procedimiento control de registros. ECP-DTI-P-017 Versión 06 Agosto 30 de2010. 5 p.

12. ECOPETROL S.A. Procedimiento de elaboración y control de documentos. ECP-DTI-P-010.Versión 04 Agosto 23 de 2010. 8 p.13. ECOPETROL S.A. Reglamento interno, comité de auditoría de la junta directiva de Ecopetrol S.A.

Julio 09 de 2010.14. ECOPETROL S.A. Guía para la administración de la seguridad de procesos. ECP-DHS-019.15. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO).

Administración de riesgos corporativos – Marco Integrado. Marco. (Traducción. PriceWaterHouse Coopers Colombia) COSO ERM. Bogotá D.C.: 2005. 135 p.

16. INSTITUTO DE ESTÁNDARES BRITÁNICOS. Gestión de la continuidad de negocio – Parte 2:Especificación. BS 25999. Londres: BSI, 2007. 28 p.

17. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Guía de responsabilidadsocial. ISO 26000:2010 Bogotá D.C.: ICONTEC, 2010. 118p.

18. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Norma Técnica de Calidaden la Gestión Pública. NTCGP 1000: 2009. Bogotá D.C.: ICONTEC, 2009. 88 p.

19. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de Gestión de laCalidad. Requisitos. NTC-ISO 9001. Bogotá D.C.: ICONTEC, 2008. 35 p.

20. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de Gestión de laCalidad. Fundamentos y vocabulario. NTC-ISO 9000. Bogotá D.C.: ICONTEC, 2005. 29 p.

21. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de GestiónAmbiental. Requisitos con orientación para su uso. NTC-ISO 14001. Bogotá D.C.: ICONTEC,2004. 28 p.

http://www.ecopetrol.com.co/especiales/codigoEtica_/observar_codEtica.html








CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

92/93

22. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Requisitos generales para

la competencia de los laboratorios de ensayo y calibración. NTC ISO/IEC 17025. Bogotá D.C.:ICONTEC, 2005. 49p.

23. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistema de Gestión enSeguridad y Salud Ocupacional. NTC-OHSAS 18001. Bogotá D.C.: ICONTEC, 2007. 24 pp.

24. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Tecnología de laInformación. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información.Requisitos. NTC ISO/IEC 27001. Bogotá D.C.: ICONTEC, 2006. 48 p.

25. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de gestión de laseguridad para la cadena de suministro. NTC ISO 28000. Bogotá D.C. ICONTEC, 2008. 26 p.

26. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Documentación.Presentación de Tesis, Trabajos de grado y otros trabajos de investigación (sexta actualización).NTC 1486. Bogotá D.C. ICONTEC, 2008. 35 p.

27. INSTITUTO DE GOBIERNO DE TECNOLOGÍA E INFORMACIÓN. COBIT 4.1. Rolling Meadows, IL:ITGI. 2007. 211 p.

28. PRESIDENCIA DE LA REPÚBLICA. Decreto 1895 de 1973. Normas sobre Exploración yExplotación de Petróleo y gas.

29. AMERICAN NATIONAL STANDARS INSTITUTE,INC. Estándar resiliencia organizacional. ASISSPC.1-2009. 66p.

30. OCCUPATIONAL SAFETY & HEALTH ADMINISTRATION. Occupational safety and health StandardOSHA 1910.119.Process Safety Management oh Highly Hazardous Chemicals.

RELACIÓN DE VERSIONESVersión Fecha Cambios

1 15/02/2012 Elaboración del documento.

Para mayor información sobre este documento, por favor, diríjase a quien lo elaboró, en nombrede la dependencia responsable:Elaboró: Carolina Hernández- Líder Frente EGCI- Proyecto GENOMATeléfono: 52299Buzón: [email protected] Dependencia: Vicepresidencia de Estrategia y Crecimiento - Unidad de Efectividad Organizacional

Revisó Aprobó

CAMILO MARULANDAVicepresidente Corporativo de Estrategia y

Crecimiento

YESID RODRÍGUEZ ARDILAJefe Unidad Corporativa de Efectividad

Organizacional

JAVIER GENARO GUTIÉRREZ PPresidente Ecopetrol S.A.

mailto:[email protected]








CÓDIGOPDO-N-001

Elaborado22/02/2012

Versión:1

Documents

Compendio de Buenas Practicas Del Sgci Pdo-n-001