SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO - SARO

CÓDIGO: M - 004 Página 1 de 30 SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO - SARO

CÓDIGO: M - 004 Página 2 de 30 TABLA DE CONTENIDO Pág. I. Introducción 4 II. Alcance 4 III. Objetivo General 4 IV. Objetivos Específicos 4 V. Marco Legal 4 ASPECTOS GENERALES 5 1. Definiciones 5 1.2. Factores de Riesgo 2. Sistema de Administración de Riesgo Operativo SARO 8 2.1. Etapas del Riesgo Operativo 9 3. Elementos del Sistema de Administración de Riesgos SARO 3.1. Políticas 3.2. Procedimientos, Controles y Contingencias 3.3. Procedimientos y controles operativos en las diferentes áreas 3.4. Procedimientos para implementar Planes de Contingencia 11 4. Documentación 23 5. Estructura Organizacional 23 6. Registro de Eventos de Riesgo Operativo 25 6.1. Sensibilidad al Riesgo 7. Organos de Control 27 7.1. Revisoría Fiscal 7.2. Auditoria Externa y Control Interno

CÓDIGO: M - 004 Página 3 de 30 8. Plataforma Tecnológica 28 9. Divulgación de la Información 28 9.1. Interna 9.2. Externa 10. Revelación Contable 28 11. Capacitación 29

CÓDIGO: M - 004 Página 4 de 30 MANUAL DE ADMINISTRACIÓN DEL RIESGO OPERATIVO I. INTRODUCCION El riesgo es un concepto que se puede considerar fundamental en todas las actividades de la vida, por ello la humanidad siempre ha buscado la manera de protegerse. Actualmente, al interior de las empresas se viene implementando la Administración de Riesgos, la cual define un conjunto de estrategias que a partir de los recursos físicos, humanos y financieros busca en el corto plazo mantener la estabilidad financiera de la empresa protegiendo los activos e ingresos y en el largo plazo minimizar las pérdidas ocasionadas por la ocurrencia de dichos riesgos, generando planes de contingencia para poder enfrentar cualquier tipo de situación. II. ALCANCE El presente manual se constituye como una herramienta que le permite a todos los vinculados a la organización establecer mecanismos para identificar, valorar y minimizar los riesgos a los que constantemente están expuestos en desarrollo de sus actividades laborales. III. OBJETIVO GENERAL Dar cumplimiento con la normatividad emitida por la Superintendencia Financiera de Colombia, donde todas las entidades vigiladas por este Ente de Control, deben desarrollar, establecer, implementar un Sistema de Administración de Riesgo Operativo (SARO), que les permita identificar, medir, controlar y monitorear eficazmente el riesgo. De igual manera, garantizar que las metas propuestas en la Misión, Visión y Principios, se cumplan a través de la prevención, administración adecuada y oportuna de los posibles Riesgos que puedan afectar los intereses económicos de la organización. IV. OBJETIVOS ESPECIFICOS Establecer herramientas adecuadas que faciliten la prevención, y administración del riesgo Proteger los recursos de la entidad Dar cumplimiento con las leyes y normas expedidas por los Entes de Control Efectuar una participación activa de los vinculados a la organización aplicando en el desarrollo de sus labores, acciones y controles que permitan mitigar los posibles riesgos. V. MARCO LEGAL Circular Externa 041/2007. Capitulo XXIII: Reglas relativas a la Administración del Riesgo Operativo. Superintendencia Financiera de Colombia.

CÓDIGO: M - 004 Página 5 de 30 ASPECTOS GENERALES 1. DEFINICIONES Las siguientes definiciones se tendrán en cuenta para los fines del presente manual: Riesgo Operativo (RO): Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal, de custodia y reputacional, asociados a tales factores. Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Riesgo de custodia: Es la posibilidad de pérdida en que incurre una entidad por la pérdida de los valores mantenidos bajo custodia debido a la insolvencia, negligencia o a una acción fraudulenta del custodio o de un subcustodio. Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. 1.2. Factores de Riesgo Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por RO. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos, según se indica a continuación. 1.2.1. Internos: Son todos aquellos que interfieren con el buen desempeño y ponga en peligro el cumplimiento de los objetivos de la organización.

Factores Internos CÓDIGO: M - 004 Página 6 de 30 Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo (V.gr. outsourcing). Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos. Incluye: hardware, software y telecomunicaciones. Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 1.2.2. Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la entidad.

Factores Externos CÓDIGO: M - 004 Página 7 de 30 Pérdidas: Cuantificación económica de la ocurrencia de un evento asociado al RO. Eventos de pérdida: Son aquellos incidentes que generan pérdidas por RO a las entidades. Se clasifican en: Fraude Interno: Pérdidas derivadas de algún tipo de actuación orientada a defraudar, apropiarse indebidamente de bienes o incumplir normas, leyes o políticas empresariales en las que se encuentra implicado, al menos, un empleado o administrador de la entidad, en beneficio propio o de un tercero. Fraude Externo: Pérdidas derivadas de algún tipo de actuación orientada a defraudar, apropiarse indebidamente de bienes o incumplir normas, leyes o políticas empresariales por parte de una persona externa a la entidad, en beneficio propio o de un tercero. Relaciones laborales: Pérdidas derivadas de actuaciones incompatibles con la legislación laboral, los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia o el pago de reclamaciones por daños personales Clientes, productos, prácticas comerciales: Pérdidas derivadas del incumplimiento negligente o involuntario de las obligaciones frente a los clientes, de prácticas comerciales o de obligaciones relacionadas con el diseño de un producto o servicio. Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. Interrupción del negocio y fallas tecnológicas: Pérdidas derivadas de incidentes que generen interrupciones en el negocio y de fallas tecnológicas Ejecución, entrega y administración de procesos: Pérdidas derivadas de errores en el procesamiento y entrega de operaciones o en la administración de procesos.. Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo. Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

CÓDIGO: M - 004 Página 8 de 30 Viene Riesgo Residual: Nivel resultante del riesgo después de aplicar los controles. Plan de Continuidad del Negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. Manual de Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. Unidad Responsable del SARO (URS) o (UCR): Se entiende por Unidad Responsable del SARO (URS), el área o cargo, designado por el Representante Legal de la entidad, la cual deberá coordinar la puesta en marcha y seguimiento del SARO, para tal efecto la Firma Comisionista, en la medida que cuenta con una Unidad de Control de Riesgos dentro SIAR de la entidad, ha asignado a esta las responsabilidades de la URS 2. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO (SARO) Es la cultura o conjunto de procesos, políticas, procedimientos y acciones que se implementan para identificar, medir, monitorear, controlar, informar y revelar los diferentes tipos de riesgo a los que se encuentra expuesta Coproagro S.A., de tal forma que permita minimizar perdidas y maximizar oportunidades. La Firma Comisionista en cumplimiento de lo previsto en el CAPITULO XXII de la Circular Básica Financiera y Contable, adopta dentro de la estructura del SIAR Sistema de administración de Riesgos el siguiente módulo denominado SARO -Sistema de Administración del Riesgo Operativo- en el cual se determinan las políticas específicas los objetivos, los procedimientos y la estructura para la administración del Riesgo Operativo (RO)

MITIGAR/ELIMINIAR CUANTIFICAR CÓDIGO: M - 004 Página 9 de 30 2.1. ETAPAS DEL RIESGO OPERATIVO IDENTIFICAR RIESGO CONTROLAR/ MONITOREAR 2.1.1. Identificar: Tiene como objetivo identificar todas las potencialidades de riesgos, que pueden incidir negativamente sobre el sistema. Establecer las regulaciones que permitan evitarlos o minorar sus efectos, de no poderse evitar por ser eminentemente fortuitos. Presupone establecer amenazas y/o oportunidades y determinar las probabilidades de su impacto sobre el funcionamiento y los objetivos de la empresa. 2.1.2. Cuantificar: Es la cuantificación de las exposiciones a riesgo, la cual tendrá implicaciones financieras. Esta orientada a: a) Medir el nivel de los probables daños y el costo de las medidas para evitarlos y/o disminuirlos, b) Examinar las capacidades y los recursos de que dispone la empresa para afrontar los riesgos c) identificados, sistematizados y evaluados, d) Diseñar el programa de la implementación de los instrumentos y las medidas para afrontar las amenazas

CÓDIGO: M - 004 Página 10 de 30 e) Preparar el plan de contingencia. 2.1.3. Controlar/Monitorear: En esta actividad es necesario relacionar sus dos parámetros principales: la frecuencia (probabilidad) y la severidad (volumen), que influyen para tomar una decisión acertada. Cuanta más alta sea la frecuencia, tanto más grande es el riesgo. Cuanto más grande sea la severidad, más peligroso es el riesgo. En la Fase de Control se concede un papel principal a los procesos de monitoreo, control y comunicación en el marco de la empresa, que está expuesta a riesgos. El Monitoreo es obligatorio para el buen funcionamiento de la gestión de riesgos donde se debe diseñar e implantar un sistema de mecanismos de medición y de seguimiento de las actividades expuestas a riesgos. Además el Sistema de Control tiene como su tarea la sistematización de los datos de monitoreo, especialmente los resultados de la observación de los factores de riesgo. En cuanto a la Comunicación es un Instrumento indispensable para difundir la información sobre las amenazas y los factores de riesgo a todo el personal de la empresa. 2.1.4. Mitigar/Eliminar: En el desarrollo de esta fase, deben ejecutarse medidas de intervención dirigida a reducir o a disminuir el riesgo existente. La prevención y mitigación del riesgo es el conjunto de acciones que se toman para asegurar que no sucedan eventos que perjudiquen a la organización. La Mitigación asume que en muchas circunstancias no es posible, ni factible controlar totalmente el riesgo existente; es decir, que en muchas cosas no es posible impedir o evitar totalmente los daños y sus consecuencias, sino más bien reducirlos a niveles aceptables y factibles. Para la Eliminación del riesgo hay que aplicar el método de transferencia de riesgo con el fin de actuar de tal manera que pueda transferirse el riesgo de un lugar a otro o de un grupo a otro para minimizar su impacto.

CÓDIGO: M - 004 Página 11 de 30 3. ELEMENTOS DEL SISTEMA DE ADMINISTRACION DE RIESGOS SARO E L E M E N T O S D E L S A R O Políticas Procedimientos Documentación Estructura organizacional Registro de Eventos de Riesgo Operativo Órganos de Control Plataforma tecnológica Divulgación de la información Capacitación 3.1. POLITICAS Para gestionar adecuadamente los riesgos operacionales, se establecen las siguientes políticas generales del SARO: 3.1.1. Clasificación de las categorías de Riesgo Operacional Los siniestros deben clasificarse en grandes grupos para que se facilite la determinación de indicadores gerenciales impacto-riesgo y la calificación en los mapas de riesgo, así: a. Control interno o procedimientos b. Clientes c. Recurso humano d. Recurso tecnológico e. Recursos financieros f. Información g. Operatividad de los negocios

CÓDIGO: M - 004 Página 12 de 30 Los procesos de identificación y evaluación cada riesgo operacional de COPROAGRO S.A., deben efectuarse analizando la frecuencia y la severidad de los eventos identificados para de esta forma proceder a su calificación. Se debe entender la frecuencia como el número de veces que el evento de siniestro se presenta y la severidad como el impacto económico patrimonial que tiene el evento en su ocurrencia. Esta clasificación general de los Riesgos Operacionales se define y desagrega así: a. Riesgo de Control Interno o Procedimientos Se clasifican en esta categoría todos los riesgos generados por falta de control interno en la ejecución de procesos definidos o por falta de definición clara de procedimientos; deficiencias en la desagregación de funciones, realización de operaciones o procedimientos no autorizados, falta de definición en los procedimientos de nuevas actividades, errores en el procesamiento de operaciones (registro, confirmación, liquidación, valoración, contabilización, etc), no existencia de planes de contingencia, etc. b. Clientes Están asociados a esta categoría todos aquellos riesgos que provengan de una incorrecta relación con los cliente; conocimiento del cliente y la actividad que realiza, indebida asesoría, etc. c. Recurso Humano Se deben agrupar en esta categoría todos los riesgos relacionados con el actuar de los empleados o de los vinculados subcontratistas relacionados con falta de integridad o buen juicio, ausencia de personal adecuado, ineficiencia en la capacitación, fraude o conflictos de interés d. Recurso tecnológico A esta categoría se asocian todos los riesgos generados por la incapacidad de procesar las operaciones en los sistemas. Esta incapacidad puede ser por motivos internos (fallas técnicas, huelgas, desastres naturales, etc.) o por problemas generados en entidades con las cuales se mantiene dependencia en algún grado para el debido procesamiento de datos.

CÓDIGO: M - 004 Página 13 de 30 Recursos financieros Se relacionan en esta categoría todos los riesgos que puedan generar pérdida a la Firma o a sus clientes por la indebida utilización de los bienes transados en la sociedad: dinero y títulos valores. e. Información Se clasifican aquí todos aquellos riesgos generados por información inadecuada; indebida utilización de la información, transmisión de información incompleta que induzca a error, utilización de fuentes de información deficientes o no apropiadas, etc. f. Operatividad de los Negocios Es realizar una valoración de conjunto cuando se estiman que son más las ventajas que los inconvenientes, pero previendo la posibilidad de los riesgos asumidos. 3.2. PROCEDIMIENTOS, CONTROLES Y CONTINGENCIAS 3.2.1. Procedimientos y Controles Operativos Generales Con el fin de identificar y hacer seguimiento a los principales factores de Riesgo Operativo en las categorías anteriormente, se seguirá este procedimiento: Se hará un diagnóstico inicial a partir de entrevistas a los funcionarios de la firma y de observación directa a los diferentes procesos en caso de presentarse alguna situación. Se identificarán los principales riesgos existentes y se ingresaran a la Matriz de Riesgos Se propondrán las medidas de control respectivas para reducir la magnitud de dichos riesgos. Posteriormente, de manera mensual, se hará seguimiento a la situación de cada riesgo y a los controles establecidos, de acuerdo con lo reportado en el Comité de Administración de Riesgos C.A.R. Con el registro histórico en la Matriz de Riegos, se hará la calificación cuantitativa del riesgo evaluado y la mitigación o eliminación total. 3.3. Procedimientos y controles operativos en: Area de Operaciones, Area de Sistemas, Area Administrativa, Financiera y Contable.

CÓDIGO: M - 004 Página 14 de 30 Para la realización, ejecución y control de los procedimientos y procesos generados en cada área de la organización, se deben tener en cuenta los siguientes parámetros: Se deben establecer claros procedimientos para las actividades de registro, cálculo de la posición, confirmación, liquidación, valorización y contabilización de las operaciones, con el fin de eliminar el riesgo de información errada o no registrada. Debe existir un nivel de requisitos mínimos para el personal encargado de la parte operativa, de manera que tengan la suficiente formación y preparación adecuada para las actividades que deben desarrollar. El Comité de Administración de Riesgo (CAR) velará por la debida aplicación de planes de contingencia cuando fuesen necesarios y se soportará en informes de la UCR respecto del cumplimiento de las políticas, procedimientos y controles establecidos para el funcionamiento de los portafolios y productos. Deben ejecutarse los planes de contingencia, descritos más adelante, para el caso en que se produzcan fallas en los sistemas informáticos con los cuales la Áreas de Negociación realiza sus negociaciones o las registra. Debe contarse con un apoyo en la localidad para el caso de fallas en los aplicativos. Deben establecerse planes de contingencia, descritos más adelante, para el caso de ausencia de los funcionarios responsables del manejo de los aplicativos de registro y cumplimiento de operaciones. 3.3.1. Procedimientos y controles operativos en el Área de Operaciones Al inicio del día: Se ingresa al correo empresarial con el fin de verificar los correos enviados por los clientes, que incluyen los archivos de las facturas que se van a registrar. Antes de contratar una operación: Se verifican que los datos cumplan con las condiciones mínimas de registro como fecha, datos del comprador, datos del vendedor, código del producto, y demás condiciones generales. Confrontar el número de operaciones y correos enviados con gerencia y control interno. Después de contratar una operación: Se procede a realizar el registro en bolsa y posteriormente al envío de la información a cada cliente.

CÓDIGO: M - 004 Página 15 de 30 Al final del día: A la hora de cierre, se imprime el informe final de la rueda al Representante Legal, donde se incluyen todas las operaciones realizadas durante el día, allí procede a realizar la conciliación del día. Control de documentos: Todas las operaciones deben quedar en el Libro de Ordenes y de Operaciones de la firma comisionista. La completa documentación que soporta las operaciones realizadas, debe conservarse durante un periodo no inferior a tres (3) años. La misma será sometida periódicamente a procesos de auditoria, para garantizar su integridad y veracidad. Cada producto negociado debe tener una hora de cierre preestablecida que se acomode a las necesidades de negociación del área operativa; de tal forma que las operaciones puedan ser adecuadamente procesadas en forma y tiempo. Al final del día, la Dirección Operativa debe revisar todas las operaciones e identificar cualquier operación fuera de secuencia, localizar a la persona involucrada y buscar los soportes que faltan u obtener una explicación. Debe asegurarse de que todas las operaciones del día han sido capturadas, complementadas y cumplidas. Los requerimientos de documentación para iniciar los procesos manuales son los siguientes: Listado de órdenes y operaciones por cumplir Listado de clientes y cuentas Listado de operaciones registradas por cumplir. Listado de todos los clientes creados por orden alfabético Dichos documentos deben permanecer al día: Contingencia Se mantendrán los formularios y un listado de cliente por orden de ingreso y plena identificación para la ubicación de datos en el archivo. De igual manera, la copia de las órdenes recibidas en los correos empresariales de gerencia y control interno. Responsable Coordinador de Operaciones.

CÓDIGO: M - 004 Página 16 de 30 Nota aclaratoria: En caso de ser necesario por el volumen de las operaciones, se ampliará el horario de rueda de negociación, previa autorización de la gerencia; solicitando a la Bolsa Mercantil de Colombia BMC, la respectiva autorización, principalmente en cierres de fin de mes, cosechas, periodos de incentivos o daños tecnológicos. 3.3.2. Procedimientos y controles Operativos en el Area de Sistemas a) Acceso a los Sistemas: Se establecen los siguientes controles con el objeto de prevenir que personas no autorizadas accedan a los sistemas transaccionales, de negociación, registro o administración de valores, pudiendo leer, alterar, añadir o borrar información existente en las bases de datos, o introducir transacciones no autorizadas para su procesamiento. Controles de acceso a los sistemas diseñados de manera que cada funcionario de la firma únicamente pueda acceder a las funciones estrictamente necesarias para desarrollar sus labores. Por lo tanto, cada persona autorizada poseerá un password que permita identificar quien fue el funcionario que realizó actividades en los sistemas. Los controles de seguridad y las claves de acceso serán controlados por un funcionario que administre los sistemas de la firma, independiente de las áreas que los utilizan. Esta persona será responsable de evaluar el nivel de seguridad, administrar los sistemas de acceso y los controles claves y de auditar el cumplimiento de las políticas de seguridad. Se restringirá el acceso de personal no autorizado a las áreas de negociación y administración de bases de datos de la firma. Se debe contar con un coordinador de la seguridad física del área. El Back Office debe estar distribuido de tal manera que se diferencien el área de custodia y manejo de títulos valores, el área de contabilización, el área de custodia de documentos, el área de confirmación de operaciones, el área de administración de los sistemas de registro y movimiento electrónico de títulos o dinero. La parte que tenga contacto con el público debe estar separada de las demás áreas operativas. Adicionalmente, atendiendo las recomendaciones emitidas por la Superintendencia Financiera de Colombia en su Circular Externa No. 038/2009, Título I, capitulo décimo segundo. b) Control y Mantenimiento de Bases de Datos: Las bases de datos contienen información básica para el funcionamiento de las distintas áreas de la entidad, tales como información sobre contrapartes y clientes, portafolios de inversión, bases de cálculo, datos contables, características de los instrumentos financieros, usuarios de los sistemas, niveles de acceso, etc.

CÓDIGO: M - 004 Página 17 de 30 Se establecen los siguientes controles: El Director de Operaciones tendrá además la responsabilidad del mantenimiento de las bases de datos de clientes, siempre bajo los estándares del SIAR Cualquier modificación a la información contenida en las bases de datos, deberá ser propuesta por los responsables del Área Operativa, el Area de Sistemas, la Unidad de Control de Riesgos, el SCI y la Representante legal, y deberán ser revisadas y aprobadas por el funcionario responsable de la misma, de igual manera ser reportadas al C.A.R. Las bases de datos deben ser comunes para todas las áreas de la firma. En caso contrario, deberán establecerse controles que garanticen que los datos son coherentes en todos los sistemas. c) Controles automáticos en los sistemas: Los sistemas deben tener controles que no dejen introducir una operación si no se ha completado toda la información definida como básica para poder procesarla. Los sistemas deberán generar un informe de errores, que será revisado por el encargado de introducir los datos en el sistema, con el fin de hacer las correcciones correspondientes lo antes posible. No es posible realizar algún registro si no se encuentra en el Libro Electrónico de Ordenes No se puede registrar si la factura es mayor a 15 días a la fecha del registro Además, se efectúa un control manual de revisión diaria de los datos que se registran en el sistema. Adicionalmente, atendiendo las recomendaciones emitidas por la Superintendencia Financiera de Colombia en su Circular Externa No. 038/2009, Título I, capitulo décimo segundo. d) Comunicaciones de datos Se utilizan los sistemas para la transmisión de datos requeridos con las entidades de control y la BMC, cuando sea el caso. Contingencia Se cuenta con programas alternos instalados en: a) Equipo portátil del representante legal, b) Computador del Area de operaciones y c) en el Equipo del Area de Sistemas. Lo anterior con el fin de transmitir desde cualquier equipo la información. Responsable: Representante Legal Administrativo, coordinador de Operaciones y coordinador área de sistemas.

CÓDIGO: M - 004 Página 18 de 30 3.3.3. Procedimientos y controles Operativos en el Area Administrativa Se deben adoptar controles que garanticen la seguridad, calidad y cumplimiento de la información generada, teniendo en cuenta que los sistemas de información y comunicación son la base para capturar e intercambiar información en una forma y periodo de tiempo que permita a personal cumplir con sus responsabilidades y a los usuarios externos contar oportunamente con elementos de juicio suficientes para la adopción de decisiones que les corresponde en relación con la entidad. El cumplimiento de recibir y entregar los documentos a las dependencias destinatarias para el desarrollo correspondiente del trámite a que haya lugar y cumplir con las obligaciones de la entidad originadas en cada uno de los trámites o actuaciones. A. Procedimientos y Controles Operativos de Documentos: Se establecen los siguientes controles: a) Correspondencia Recibida: Recibir, colocar los respectivos sellos, radicar en el sistema y en la Planilla de correspondencia y la forma como se recibió (fax, correo electrónico, correo urbano; entrega personal) Posteriormente se presenta a la Gerencia y luego se remite al área encargada de dar la respuesta o va al archivo b) Correspondencia Enviada: La recepcionista fija el número del consecutivo, el área encargada realiza el documento y lo entrega a la recepción para que sea enviado ya sea por fax, correo electrónico o correo urbano o entrega personal. Se radica en la planilla del sistema con el número de guía o la condición de envío; posteriormente la copia es archiva en el folder de correspondencia. c) Manejo del Archivo: Una vez se haya dado respuesta a los requerimientos o de acuerdo con las situaciones presentadas, se procede a realizar el archivo de los documentos en las carpetas de correspondencia (recibida y despachada). Existen carpetas especiales para los oficios recibidos y enviados por la Superintendencia Financiera de Colombia y la Bolsa Mercantil de Colombia. Contingencia Se tiene un archivo de correspondencia despachada en el computador donde se elaboran los oficios que salen de la organización. De igual manera el área que genera el oficio guarda copia en su equipo y existe una carpeta de correspondencia recibida y despachada en orden consecutivo. En relación con los oficios recibidos y despachados de los entes de control, existen carpetas especiales para la Superintendencia Financiera de Colombia y la Bolsa Mercantil de Colombia y una copia adicional en el archivo general. Responsable: Area de Recepción

CÓDIGO: M - 004 Página 19 de 30 B. Procedimientos y controles Operativos Grabaciones Telefónicas: La entidad debe tener instalado un sistema que permita grabar todas las conversaciones mantenidas por los integrantes de la organización, siempre y cuando éstas estén relacionadas con el objeto social de la Entidad. Es fundamental que el sistema de grabación muestre claramente la fecha y hora de cada una de las conversaciones realizadas, con el fin de facilitar su posterior búsqueda. Adicionalmente, se tiene como plan de contingencia los casetes o cintas, los cuales al ser utilizados deberán numerarse por fechas y horas de grabación. Se deben tener en cuenta los siguientes aspectos: Siempre que haya una discrepancia con una contraparte, o siempre que el operador lo solicite, se recurrirá a la grabación la cual será analizada por él, por el funcionario de UCR y SCI, anotando en un libro de acceso a grabaciones la persona que lo solicita, motivo, línea escuchada, día y hora de la grabación, y día y hora en que se está escuchando la grabación. En ningún caso, el operador podrá tener acceso a grabaciones que no pertenezcan a su área de responsabilidad. Las grabaciones de conversaciones telefónicas se conservarán por tres (3) meses contados a partir de la fecha de vencimiento de cada operación, o hasta que las discrepancias con respecto a alguna grabación en particular se resuelvan totalmente. La UCR y SCI deberán revisar periódicamente las grabaciones de las conversaciones telefónicas. Este procedimiento debe ser realizado de manera rotativa, de forma que el operador esté sujeto a esta revisión por lo menos una vez al trimestre. Contingencia Se tiene un conmutador que recoge en un PBX líneas telefónicas para servicio de toda la oficina. Se cuenta inmediatamente con 01 líneas telefónicas directas ubicada en la oficina del representante legal. Adicionalmente se cuenta con algunas líneas del conmutador que pueden ser conectadas directamente, para lo que se debe disponer de un día. También se utilizarán los teléfonos celulares del Gerente General y los coordinadores de área. Adicionalmente, se cuenta con un sistema de grabación por medio de casettes, el cual es instalado una vez falle el software Audilogger. Responsable: Representante Legal Administrativo, Control Interno, ingeniero de sistemas

CÓDIGO: M - 004 Página 20 de 30 C. Procedimientos y controles Operativos Personal En COPROAGRO S.A. se ha implementado un organigrama que cubre todas las necesidades requeridas para el cumplimiento a cabalidad del objeto social autorizado y a desarrollar. Se cuenta con un empleado especializado en cada uno de los puestos de trabajo para llevar a cabo dichos procesos. Contingencia A falta de un funcionario cualquiera, el desarrollo de sus actividades cotidianas será responsabilidad del Representante Legal asignar a la persona que mejor conozca el funcionamiento del cargo o a su suplente. Esto es: Se capacitará en todos los puestos de trabajo a un funcionario diferente al responsable de cada puesto. Dicha capacitación estará orientada en dos sentidos: uno pedagógico según el cual se le hará entrega oficial para su estudio, el manual para el cual será funcionario de contingencia, y el segundo consiste en llevar a cabo un proceso de entrenamiento con destinación exclusiva y por el tiempo que cada labor lo requiera. Si la contingencia supera el mes para el cual han sido diseñados los procedimientos, el responsable evaluará cada caso y presentará al Área de Riesgo su plan para continuar con la contingencia, enmarcando éste en uno de las siguientes posibilidades: prolongar la utilización del supernumerario, nombrar un funcionario temporal externo y cambiar definitivamente el funcionario ausente. Responsable Representante Legal 3.3.4. Procedimientos y controles Area Contable y de Tesorería A. Tesorería: Los requerimientos de documentación para iniciar los procesos manuales y que deben permanecer al día, son: Saldos de cada Banco Recibos de ingreso y egresos Estos documentos son procesados y generados por el programa contable. Contingencia Los recibos de ingreso, los cheques y los comprobantes de egreso se seguirán llenando en los mismos formatos utilizados en computador pero se realizará a máquina de escribir. Responsable Contador y Jefe de Tesorería Control de Bancos

CÓDIGO: M - 004 Página 21 de 30 Los saldos son llevados por el programa contable, la Representante Legal controla diariamente los ingresos de los clientes a través de la sucursal virtual del banco utilizando la clave y el token que entrega el Banco. Así mismo, cancela a los proveedores utilizando transferencia bancaria; posteriormente imprime el comprobante de transferencia el cual es entregado al área contable como soporte del pago. Contingencia Se deben diseñar planillas para llevar a mano el control de los ingresos, egresos y saldos de cada banco permanentemente. Responsable: Contador y Jefe de Tesorería B. Departamento de Contabilidad Los requerimientos de documentación para iniciar los procesos manuales son: Balance de prueba (Debe actualizarse mensualmente) Listado de saldos de clientes (Debe actualizarse diariamente) El departamento de contabilidad lo constituyen un contador y un asistente de contabilidad, de ser necesario por el volumen de trabajo, se contratará un auxiliar durante el periodo pertinente. Toda la información contable es registrada, procesada y se emiten todos los reportes de trabajo y oficiales por el programa de control y registro contable. Contingencia Se registrará en el sistema toda la información diaria todos los documentos que lleguen a la oficina en el programa contable adquirido por la empresa para tal fin: Recibos de caja Comprobantes de Egreso Revisión de la información suministrada por el director de operaciones Verificación del movimiento diario transmitido por Visualbolsa Consignación diaria de los dineros recibidos en la oficina Registro de información mensual: Físicamente debe sacarse los comprobantes mensuales de cada documento interno utilizado en el programa contable: Balance de prueba mensual sin terceros Libros oficiales, luego de la Auditoría total por parte de la Revisoría Fiscal y la presentación de balances a los diferentes entes de control Archivo mensual de todos los soportes legales que dieron lugar a los registros contables Conciliaciones bancarias mensuales Depuración mensual de todas las cifras del balance

CÓDIGO: M - 004 Página 22 de 30 Nómina quincenal La transmisión del Balance General, el Estado de Pérdidas Ganancias y demás notas a la Superintendencia Financiera de Colombia, se efectuarán atendiendo el procedimiento de contingencia definido por estas entidades, en caso que la falla se presente al interior de éstas entidades. Sin embargo se elaborarán todos los documentos manualmente para su envío físico. Responsable: Contador en lo que a todos los procedimientos de elaboración y análisis, y de documentación oficial se refiere. Auxiliar en la contabilización de todos los registros contables, elaboración de nómina, liquidación de prestaciones sociales y todo lo relacionado con personal. 3.4. Procedimientos para implementar Planes de Contingencia por caso fortuito o fuerza mayor A continuación se definen los procedimientos que deben implementarse en el momento eventual en que falle uno o alguno de los procedimientos actualmente definidos y montados en plataformas de personal, físicas o lógicas susceptibles a cualquier falla por fuerza mayor o caso fortuito. Este plan de contingencia tiene una proyección básica de un mes pero está diseñado para soportar hasta doce meses, esto sí, en detrimento de la eficiencia de todo proceso automatizado. Lo anterior debido a que el Plan de Contingencia se basa principalmente en procesos manuales. La definición de los procedimientos de contingencia se hará en su totalidad, es decir, suponiendo que ningún proceso automatizado opere y se estructurará por departamento. Partiendo de esta base pueden implementarse las funciones o combinación de funciones que fallen independientemente. Los procedimientos están definidos según el funcionamiento básico y normal de la operación diaria de la sociedad. Dado que el principio de la contingencia es basar todo en procesos manuales, sí en el desarrollo se presenta algún caso no previsto en el manual, se deberá proceder en contingencia de igual forma; manual, la cual será avalada por el CAR. Adicionalmente, los procesos manuales mantendrán la misma filosofía de los procesos sistematizados, de manera tal que en el momento de entrar nuevamente en producción sea fácilmente recuperable la información para actualización del sistema. Todos los formatos utilizados en los procedimientos de contingencia deben estar impresos y listos para ser utilizados manualmente, dado que serán archivados en formatos de Excel y Word, en caso de que estos programas puedan ser utilizados. Igualmente se mantendrán mínimo back ups mensuales de todos los archivos para su reiniciación en el momento que se restablezcan los sistemas Retorno al proceso Normal

CÓDIGO: M - 004 Página 23 de 30 Como se definió al diseñar el plan de contingencia, los procesos manuales mantendrán la misma filosofía de los procesos sistematizados, de manera tal que al entrar nuevamente en producción en dichos procesos sistematizados la información sea fácilmente actualizada. Lo anterior no solamente desde el punto de vista de los procesos en sí y de las formas, sino de los empleados encargados quienes procesarán manualmente lo que en su rutina diaria hacen en el sistema Si el tiempo en contingencia supera los quince días, se utilizaran las horas no hábiles necesarias para poner al día la información, de tal manera que al cierre del mes en contingencia los procesos sistematizados contengan todos los datos como si no se hubiesen utilizado los procesos manuales. Una vez se actualice toda la información, se realizará un paralelo entre lo manual y lo sistematizado los días que sean necesarios, hasta que por lo menos en tres días consecutivos los resultados sean satisfactorios al 100%. Responsables Todo aquel empleado que tenga a su cargo la ejecución de procesos manuales en contingencia, debe actualizar en el sistema, una vez este se restablezca, la información que produjo manualmente. Por lo anterior todos los funcionarios involucrados deben organizar su tiempo y trabajo para efectuar las actualizaciones requeridas en el tiempo establecido. 4. DOCUMENTACION Establecer mecanismos y elementos que permitan Registrar los eventos de riesgo generados en la organización, con el fin de poderlos identificar, medir, controlar y monitorear, dejando una evidencia de su impacto y nivel de aceptación, en los términos de integridad, oportunidad, confiablidad y disponibilidad de la información allí contenida. 5. ESTRUCTURA ORGANIZACIONAL Deben establecerse y asignar funciones a la Junta Directiva y al Representante Legal, relacionados con el cumplimiento de las Etapas y los elementos del SARO. JUNTA DIRECTIVA Establecer las políticas relativas al SARO Aprobar el Manual del SARO y sus actualizaciones Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el nivel de tolerancia al riesgo de la entidad, fijado por la misma Junta Directiva. Pronunciarse de acuerdo a cada uno de los puntos que contengan los informes periódicos que presente el Representante Legal Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.

CÓDIGO: M - 004 Página 24 de 30 Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente el SARO. REPRESENTANTE LEGAL Viene Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgos Operativo y sus actualizaciones Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva Adelantar un seguimiento permanente de las etapas y elementos constituidos del SARO Designar el área o cargo que actuará como responsable de la implementación y seguimiento del SARO (Unidad de Riesgo Operativo) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la Junta Directiva, de acuerdo con el literal d) numeral 3.2.4.1. de la C.E. 041/2007. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido. Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo con los términos establecidos en el numeral 3.2.4.3. de la C.E. 041/2007. Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en la C.C. 041/2007. Velar porque se implementen los procedimientos para la adecuada administración del riesgo op0erativo a que se vea expuesta la entidad en desarrollo de su actividad. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución. Presentar un informe periódico, como mínimo semestral a la Junta Directiva sobre la evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable. Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de acuerdo con lo previsto en el numeral 3.2.5. de la C.E. 041/2007. Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de entidad, confiablidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida. CONDICIONES

CÓDIGO: M - 004 Página 25 de 30 UNIDAD DE RIESGO OPERATIVO Contar con personal que tenga conocimiento en la administración de riesgo operativo Ser organizacionalmente de alto nivel y tener capacidad decisoria No tener dependencia de los órganos de control, ni de las áreas de operaciones o de tecnología, ni relacionen que originen conflictos de interés. Contar con los recursos suficientes para desarrollar sus funciones FUNCIONES Todas las estipuladas en la C.E. 041/2007 y las que se consideren necesarias para el buen desarrollo de su labor. 6.- REGISTRO DE EVENTOS DE RIESGO OPERATIVO Para la administración del RO se construyó un registro de eventos de RO que se debe mantener actualizado por la coordinadora del sistema de control interno. En este registro se incorporan todos los eventos de RO ocurridos y que: a) Generan pérdidas y afectan el estado de resultados de la entidad. b) Generan pérdidas y no afectan el estado de resultados de la entidad. c) No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad, tal como lo indica la C.E.. 041/2007. Los procesos de identificación y evaluación cada riesgo operacional de COPROAGRO S.A., se efectúan analizando la frecuencia y la severidad de los eventos identificados. Se debe entender la frecuencia como el número de veces que el evento de siniestro se presenta y la severidad como el impacto económico patrimonial que tiene el evento en su ocurrencia. Actualmente COPROAGRO S.A. tiene implementado un software llamado Matriz de Riesgo, en el cual se clasifican los riesgos así: Por su origen: Por su tipo Interno: Cuando la causa que origina el riesgo es propia del proceso, área o actividad interna de la Empresa. Externo: Si la causa que genera el riesgo es originada por la participación de agentes externos de la Empresa. Riesgo de proceso Riesgo Legal

CÓDIGO: M - 004 Página 26 de 30 Por fuente: Riesgo Humano Riesgo tecnológico, etc Esta causa del riesgo puede ser por: Errores Humanos Incumplimiento Abuso Diseño Falta de planeación Seguridad etc. (Ver Manual: Matriz de Riesgos) 6.1. SENSIBILIDAD AL RIESGO Para efecto de medir la sensibilidad al riesgo RO, se implementó en la matriz un indicador de Riesgo básico, el cual es alimentado manualmente determinando la probabilidad, impacto y evaluación de dicho riesgo. Esta matriz nos permite identificar los tipos de riesgo y el perfil inicial de un Área; es aquí donde se ha cuantificado el riesgo de una manera cualitativa basada en el buen juicio del Administrador de riesgos.

CÓDIGO: M - 004 Página 27 de 30 Utilizar la matriz para identificar clasificar y calificar todos los eventos de riesgo. De acuerdo a la probabilidad de ocurrencia y el impacto que causa. El sistema aplica automáticamente la formulas y asigna un color de acuerdo a su calificación: Color verde: Color amarillo: Color rojo claro: Color rojo intenso: Riesgo insignificante Riesgo moderado Riesgo fuerte Riesgo extremo Los riesgos del proceso que están en alarma roja, sea claro o intenso, son los que se deben atender en forma inmediata. Los riesgos que NO están en alarma roja, no deben dejarse a un lado, sino en su momento se atenderán. 7. ÓRGANOS DE CONTROL Las instancias responsables de efectuar la evaluación del SARO, con el fin de determinar sus fallas o debilidades, e informarlas a los órganos competentes., es la Revisoría Fiscal y Auditorías Externas, quienes no tiene responsabilidades en la administración del riesgo operativo. Los órganos de control serán por lo menos los siguientes: Revisoría Fiscal y Auditoría Interna o quien cumpla las funciones de control interno. 7.1 Revisoría Fiscal Sin perjuicio de las funciones asignadas en disposiciones gubernamentales, el Revisor Fiscal, deberá elaborar un reporte trimestral dirigido a la Junta Directiva, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARO. A su vez deberá poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva u órgano que haga sus veces. 7.2 Auditoría Externa y Control Interno Las Auditorías Externas que se implementen deberán incluir en sus informes las conclusiones sobre el Sistema de Administración de Riesgo Operativo SARO. Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien cumpla las funciones de control interno, ésta deberá evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, deberá informar los resultados de la evaluación a la UCR y al Representante Legal.

CÓDIGO: M - 004 Página 28 de 30 La Auditoría Interna, o quien cumpla las funciones de control interno, deberá realizar una revisión periódica del registro de eventos de riesgo operativo e informar al Representante Legal sobre el cumplimiento de las condiciones señaladas en el la normativa de la Superintendencia Financiera. 8.- PLATAFORMA TECNOLÓGICA La entidad cuenta con una plataforma de tecnología y los sistemas necesarios para garantizar la adecuada administración del RO. Para ello cuenta con un soporte tecnológico acorde con sus actividades y con su tamaño. 9. DIVULGACIÓN DE INFORMACIÓN La divulgación de la información deberá hacerse en forma periódica y oportuna. La entidad ha diseñado un sistema adecuado de reportes tanto internos como externos, que garantizan el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos. 9.1 Interna Como resultado del monitoreo se deben elaborar reportes trimestrales que permitan establecer el perfil de riesgo residual de la entidad. Los administradores de la Firma, en su informe de gestión, al cierre de cada ejercicio contable, deberán incluir una indicación sobre la gestión adelantada en materia de administración de RO. 9.2. Externa En concordancia con el artículo 97 del Estatuto Orgánico del Sistema Financiero (EOSF), se suministrara al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de gestión del RO adoptadas por la entidad. Esta información se incluirá en el informe de Gestión que se acompaña a los Estados Financieros de cierre de ejercicio. Las características de la información divulgada estarán relacionadas con el volumen y el perfil de riesgo de las operaciones de la Firma. 10.- REVELACIÓN CONTABLE Las pérdidas derivadas de riesgos operativos que no afecten el estado de resultados, deberán ser reveladas, en cuentas de orden. Cuando afecten el estado de resultados, se registraran en una cuenta del gasto, previamente creada por esta Superintendencia, que registre dicho acontecimiento en el período respectivo. En las notas a los estados financieros se señalaran las causas que

CÓDIGO: M - 004 Página 29 de 30 originaron las pérdidas derivadas del RO reveladas en cuentas de orden o registradas en el estado de resultados. 11.- CAPACITACIÓN a) Periodicidad anual. La entidad ha diseñado, programado y coordina planes de capacitación sobre el SARO dirigidos a todas las áreas y funcionarios. Para tal efecto el SIAR tiene módulo de auto-capacitación para todos sus empleados y directivos, quienes tienen acceso a través de sus computadores. Además se ha establecido por la Unidad de Control de Riesgo (UCR), la retroalimentación por el sistema de píldoras informativas, las cuales se le hace llegar en forma periódica a todos los empleados. Tales programas deben cumplir con las siguientes condiciones: b) Ser impartidos durante el proceso de inducción de los nuevos funcionarios. c) Ser impartidos cuando se contrate con terceros. d) Ser constantemente revisados y actualizados. e) Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos. El presente Manual hace parte del Sistema Integral de Administración de Riesgos de la Entidad.