MANUAL DE SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO. Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior, ICETEX

MANUAL DE SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO Instituto Colombiano Crédito Educativo y Estudios Técnicos en el Exterior, ICETEX Contenido 1. Objetivo l manual 2. Alcance 3. Normatividad 3.1. Normas externas 3.2. Normas internas 3.3. Régimen sancionatorio Octubre 2010 4. Acerca l instituto colombiano crédito educativo y estudios técnicos en el exterior "Mariano Ospina Pérez", ICETEX 4.1. Misión 4.2. Visión 4.3. Objetivos 4.4. Estructura Organizacional 4.5. Mapa procesos 4.6. Productos 5. Sistema administración riesgo operativo 5.1 Marco Conceptual 5.2 Misión SARO 5.3 Objetivos SARO 5.4 Estructura Organizacional l SARO 5.4.1 Junta Directiva 5.4.2 Representante Legal 5.4.3 Unidad Riesgo Operativo 5.4.4 Nivel Directivo -- Líres Proceso 5.4.5 Líres Riesgo

5.4.6 Funcionarios 5.4.7 Comité SARO 5.4.8 Funciones los Órganos Control 5.5 Plataforma Tecnológica 5.6 Documentación 5.7 Capacitación 5.8 Divulgación 6. Políticas l sistema administración riesgo operativo 6.1 Políticas Estratégicas 6.2 Políticas Administrativas 6.3 Políticas Operativas 6.4 Políticas Documentales 7. Metodología sistema administración l riesgo operativo 7.1 Proceso Gestión l Riesgo Operativo 7.2 Intificación l Riesgo 7.3 Medición l Riesgo 7.3.1 Estimación la Frecuencia los Riesgos 7.3.2. Estimación la magnitud l Impacto 7.4 Control Riesgos 7.5 Perfil Riesgo 7.6 Tratamiento l riesgo residual 7.7 Monitoreo 7.7.1 Monitoreo al mapa riesgos operativos 7.7.2 Monitoreo al SARO 7.8 Indicadores 7.9 Registro Eventos 7.9.1 Revelación Contable 8. Provisión contingencias judiciales 9. Administración la continuidad l negocio

10. Glosario 11. Anexo 1: procedimientos gestión l riesgo operativo 12. Anexo 2: monitoreo controles operativos 13. Anexo 3: monitoreo saro 14. Anexo 4: procedimiento reporte eventos 15. Anexo 5: procedimiento gestión al reporte eventos riesgo operativo 16. Anexo 6: herramienta monitoreo saro 17. Anexo 7: indicadores saro 18. Anexo 8: formato e instructivo l reporte eventos riesgo operativo Introducción La Superintenncia Financiera Colombia, como entidad supervisora l sistema financiero nacional, ha promovido la cultura administración riesgos entre las diferentes entidas sometidas a su inspección y vigilancia enfatizando en su importancia respecto los riesgos operativos, especialmente en los aspectos tecnológicos, recursos humanos y procesos, lo cual exige una respuesta eficaz, oportuna y coordinada, por parte las instituciones vigiladas. Así mismo, busca que estas instituciones implementen un Sistema Administración l Riesgo Operativo SARO, conformidad con su estructura, tamaño, objeto social y actividas apoyo. En paralelo a esta implementación, el Departamento Administrativo la Función Pública DAFP, presenta una metodología para la administración riesgo en entidas naturaleza pública, enmarcada en los lineamientos l Molo Estándar Control Interno MECI 1000:2005 constituyéndose en una herramienta para el fortalecimiento las políticas administración l riesgo, los pilares gestión y la interiorización la cultura autoevaluación y autocontrol, enfocándose en el manejo acuado los riesgos y contribuyendo finalmente en forma conjunta y coordinada al logro los objetivos la organización. Como elemento adicional, la Norma Técnica Calidad la Gestión Pública promueve la adopción un enfoque basado en procesos para intificar y gestionar los riesgos manera eficaz y eficiente. Bajo dichos antecentes, Icetex consciente la complejidad sus operaciones, l cumplimiento su misión y visión, enmarcados en un conjunto herramientas que apoyen la planeación estratégica y el alcance objetivos largo plazo, consira importante, relevante y fundamental adoptar manera integral el sistema SARO y efectuar su implementación, siendo un

compromiso por parte la Junta Directiva y la administración la entidad respectivamente. El Sistema Administración Riesgo Operativo (SARO) l Icetex tiene como objetivo la intificación, medición, control y monitoreo eficaz l riesgo operativo conformidad con lo scrito en el Capítulo XXIII la Circular Básica Contable y Financiera expedida por la Superintenncia Financiera Colombia. De igual forma "para el Estado Colombiano, el Decreto 1537 2001 establece en el artículo 4o que todas las entidas la Administración Pública ben contar con una política Administración Riesgos tendiente a darle un manejo acuado a los riesgos, con el fin lograr la manera más eficiente el cumplimiento sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. "Mediante el Decreto 1599 l 20 mayo l 2005, se adoptó el Molo Estándar Control Interno para todas las entidas l Estado: Este molo presenta tres Subsistemas Control: el Estratégico, el Gestión y el Evaluación. La Administración l Riesgo ha sido contemplada como uno los componentes l Subsistema Control Estratégico. El Icetex fine el Riesgo Operativo como " la posibilidad incurrir en pérdidas por ficiencias, fallas o inacuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia acontecimientos externos. Esta finición incluye el riesgo legal y reputacional, asociados a tales factores ", en consecuencia su eficiente administración permitirá a la entidad minimizar la frecuencia e impacto los eventos riesgo, garantizando la ejecución las operaciones normales, mejorar el servicio al cliente mediante la correcta ejecución procesos, disminuir el nivel pérdidas generadas por eventos frau interno y externo, fallas tecnológicas y eventos externos. Así mismo el Departamento Administrativo la Función Pública fine el riesgo como la "posibilidad ocurrencia un evento que pueda entorpecer el normal sarrollo las funciones la entidad y afectar el logro sus objetivos". A partir la publicación l presente Manual, se be entenr el SARO, como una cultura integral Administración l Riesgo Operativo, don el compromiso cumplimiento a las políticas aprobadas se extien a cada uno los funcionarios la organización. 1. Objetivo l manual El presente documento tiene como objetivo relacionar, establecer y divulgar las políticas, los objetivos, la estructura organizacional, las metodologías, las

estrategias, los procesos y procedimientos aplicables en el sarrollo, implementación y seguimiento l Sistema Administración Riesgo Operativo SARO en el Icetex. 2. Alcance El alcance l presente Manual abarca el establecimiento objetivos, metodología y la implementación l Sistema Administración Riesgos Operativos para los procesos estratégicos, misionales, apoyo y control y evaluación l Icetex, los cuales serán obligatorio cumplimiento para toda la estructura orgánica la Entidad. Este manual se rige por la normatividad expedida por la Superintenncia Financiera Colombia, los lineamientos l Molo Estándar Control Interno MECI y las normas carácter interno expedidas por la Junta Directiva y la Presincia. 3. Normatividad En la implementación l Sistema SARO le son aplicables normas carácter externo expedidas por órganos vigilancia, supervisión y control, y normas carácter interno expedidas por la Junta Directiva y la Presincia. 3.1 Normas Externas -- Capítulo XXIII. Reglas Relativas a la Administración l Riesgo Operativo la Circular Básica Contable y Financiera la Superintenncia Financiera Colombia. -- Resolución 1865 l 17 octubre 2007, la cual incluye las cuentas para registrar el riesgo operativo en los Planes Únicos Cuentas (PUC) aplicables a las entidas sometidas a inspección y vigilancia la Superfinanciera obligadas a implementar el Sistema Administración Riesgo Operativo (SARO). -- Decreto 1599 l 20 mayo l 2005, mediante el cual se adoptó el Molo Estándar Control Interno y la Guía Administración Riesgo expedidos por el Departamento Administrativo la Gestión Pública. 3.2 Normas Internas -- Acuerdo 013 l 21 febrero 2007, por el cual se adoptan los Estatutos l Icetex. -- Acuerdo 016 l 21 febrero 2007, por el cual se adopta la política provisión contingencias judiciales. -- Acuerdo 031 l 29 agosto 2008 y Resolución Presincia 797 l 2 octubre 2008, mediante el cual se reorganizan los Comités apoyo a la Junta Directiva l Icetex, y se crea el Comité SARO y SARLAFT.

-- Acuerdo 09 l 12 marzo 2008, por el cual se adopta el Manual l Sistema Administración Riesgo Operativo. 3.3 Régimen Sancionatorio El incumplimiento las políticas y procedimientos para el sarrollo SARO finidas en el presente manual, acarrea la imposición las sanciones acuerdo con el régimen sancionatorio aplicable a los servidores públicos l Icetex estipulado en la Ley 734 2002 Código Disciplinario Único, el Estatuto Orgánico l Sistema Financiero y la normatividad vigente, sin perjuicio las sanciones penales y administrativas correspondientes, acor con el capítulo VI l Código Ética y Conducta la Entidad. 4. Acerca l instituto colombiano crédito educativo y estudios técnicos en el exterior " " Mariano Ospina Pérez", ICETEX El Instituto Colombiano Crédito Educativo y Estudios Técnicos en el Exterior ICETEX, es una entidad financiera naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al Ministerio Educación Nacional, creado mediante Decreto 2586 1950 y transformado con la Ley 1002 l 30 diciembre 2005, reglamentada por los Decretos 1050 2006 y el Decreto 2792 2009 expedidos por el Ministerio Educación y el Ministerio Hacienda y Crédito Público. 4.1 Misión El Icetex es entidad financiera l Estado, naturaleza especial, que promueve y financia el acceso y la permanencia en la educación superior en Colombia y el exterior; a través l crédito educativo, la gestión recursos cooperación internacional y terceros, con criterios equidad, cobertura, calidad y pertinencia, priorizando la población bajos recursos económicos y aquella con mérito académico; para contribuir al sarrollo social y económico l país. 4.2 Visión Seremos reconocidos como el gran motor financiador la educación superior en Colombia, maximizando el número créditos activos e incrementando las oportunidas cooperación internacional; soportados en una operación financiera sostenible, un molo gestión efectivo, tecnología punta y personal altamente calificado; orientados a alcanzar altos niveles satisfacción en nuestros clientes. 4.3 Objetivos Icetex en su operación cumple con los siguientes objetivos corporativos:

-- Facilitar a los estudiantes el acceso a los mejores programas formación en el país y a un número cada vez mayor oportunidas estudio en el exterior, en instituciones reconocido prestigio internacional. -- Asegurar que la capacitación nuestros estudiantes tenga un impacto significativo en áreas prioritarias para el sarrollo regional y nacional. -- Obtener alternativas financiación la inversión, con la participación la nación, los partamentos y los municipios; el sector productivo, las instituciones educación superior, el ahorro privado y la cooperación internacional. -- Garantizar que la distribución nuestros servicios entre los estudiantes y las diferentes regiones l país, se realice con criterios equidad social y regional. 4.4 Estructura Organizacional Mediante el Decreto 380 12 febrero 2007 se establece la estructura orgánica l Icetex y se terminan las funciones sus penncias en procura cumplir con la misión la Entidad. El siguiente gráfico presenta la organización a nivel directivo, que conlleva el spliegue en cada una estas instancias. 4.5 Mapa procesos Dentro los pilares corporativos Icetex ha establecido conforme la política calidad su mapa macroprocesos clasificados según la cana valor en aquellos que son tipo estratégico, evaluación, misional y apoyo. 4.6 Productos Icetex, como motor la financiación la educación superior l país, concentra su estrategia productos y servicios ntro l marco la política institucional educativa y conformidad con el alcance su objeto social, clasificándolos la siguiente manera: Productos Créditos Educativos Descripción Estudios Pregrado Estudios Postgrado Icetex ofrece créditos para financiar la educación técnica profesional, tecnológica o universitaria con la tasa más baja l mercado, garantizando mantenerla fija durante el proceso reembolso l crédito. Icetex cuenta con varias líneas crédito para formación avanzada o postgrado en

Colombia y en el exterior. Estudios en el Exterior Mi primer computador Icetex financia programas formación en el exterior en instituciones prestigio internacional. Icetex ofrece varias alternativas para la compra computador, con el fin que el estudiante escoja la que más se acomo a sus necesidas. Fondos en Administración Título Ahorro Educativo Icetex cuenta con un portafolio recursos entidas públicas y privadas que administra para ejecutar diferentes programas y proyectos educativos para la población objetivo, fortaleciendo los mecanismos cobertura en educación. El TAE es un título valor que le permite a cualquier persona ahorrar para asegurar total o parcialmente los costos la educación superior en el país o en el exterior l beneficiario que elija. Se expresan en Unidas Matrícula Constante (UMAC) lo que permite la valorización periódica en relación con el incremento anual las matrículas en los centros educación superior. Programas Becas Internacionales y Becas en el exterior Son donaciones o ayudas no reembolsables ofrecidas por los gobiernos y organismos internacionales, en sarrollo convenios y acuerdos cooperación educativa. El Icetex es la entidad l gobierno colombiano encargada canalizar la oferta becas cooperación internacional que ofrecen al país los Gobiernos y Organismos Internacionales (Ley 30-1992). Programa Social Idiomas sin Fronteras Es una iniciativa l Icetex, que se ha constituido en un programa banra, ya que ayuda a fortalecer la política social l Gobierno Nacional en el sector educativo, al permitir el acceso las clases menos favorecidas al aprendizaje o perfeccionamiento nuevos idiomas.

5. Sistema administración riesgo operativo 5.1 Marco Conceptual A través Convenios interinstitucionales suscritos con el Icetex, las entidas bidamente autorizadas que prestan el servicio educación para el aprendizaje o perfeccionamiento una segunda lengua, ofrecen scuentos especiales por estrato socioeconómico a quienes sean avalados por el Icetex como beneficiarios l Programa. El Sistema Administración l Riesgo Operativo es finido como el conjunto elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro eventos riesgo operativo, órganos control, plan continuidad negocio, plataforma tecnológica, divulgación información y capacitación, mediante los cuales se intifica, mi, controla y monitorea el riesgo operativo. Así mismo se complementa con la finición riesgo según la Superintenncia Financiera Colombia, don lo finen como la posibilidad incurrir en pérdidas por ficiencias, fallas o inacuaciones en el recurso, los procesos, la tecnología, la infraestructura o por la ocurrencia eventos externos. En tal sentido, Icetex distingue y enfoca su gestión conforme las etapas y elementos que componen el SARO. 5.2 Misión SARO Es misión l sistema SARO administrar, gestionar el riesgo operativo l ICETEX forma eficaz, eficiente y efectiva a través políticas, metodologías, procedimientos y mecanismos control, relacionándolos con los procesos, el recurso humano y la infraestructura tecnológica, garantizando así la continuidad l negocio y el compromiso la organización hacia la eficiencia operativa. 5.3 Objetivos SARO Son objetivos l sistema SARO los siguientes: -- Establecer un sistema Administración l Riesgo Operativo en todos los niveles l Icetex, finiendo las etapas l proceso por el cual administra y controla el riesgo operativo. -- Intificar y gestionar los riesgos que pudieran llegar a generar pérdidas al ICETEX. -- Medir los Riesgos intificados acuerdo con los parámetros establecidos por la Alta Dirección.

-- Diseñar e implementar los controles que permitan tratar acuada y eficientemente los riesgos intificados y valorados. -- Disminuir la probabilidad incurrir en pérdidas generadas por eventos frau interno y externo, errores en los procesos, fallas tecnológicas y humanas, eventos externos, entre otros eventos riesgo operacional. -- Minimizar la probabilidad e impacto eventos inesperados y garantizar la continuidad l negocio. -- Establecer las etapas l proceso por el cual Icetex administra y controla el riesgo operativo 5.4 Estructura Organizacional l SARO Para el cumplimiento un sistema acuado riesgo operativo, el Icetex cuenta con la siguiente estructura orgánica l sistema SARO: El riesgo operativo no se limita a ningún área o proceso en particular y pue surgir en cualquier lugar, comprendiendo todo el Icetex. En consecuencia todos los funcionarios que realizan y ejecutan los procesos son responsables la intificación riesgos operativos y su control. 5.4.1 Junta Directiva La Junta Directiva como máximo órgano dirección y administración l Icetex be aprobar las normas internas requeridas para encaminar el sarrollo e implementación l Sistema Administración Riesgo Operativo, en tal sentido las siguientes funciones: a. Establecer la estrategia l riesgo operativo, las políticas, los procedimientos para su intificación, evaluación, y mitigación, así como las responsabilidas cada uno los integrantes ntro l marco trabajo. b. Aprobar el Manual Riesgo Operativo y sus actualizaciones. c. Hacer seguimiento y pronunciarse sobre el perfil riesgo operativo la entidad. d. Establecer las medidas relativas al perfil riesgo operativo, teniendo en cuenta el nivel tolerancia al riesgo la entidad, fijado por la misma Junta Directiva. e. Pronunciarse respecto cada uno los puntos que contengan los informes periódicos que presente el Representante Legal. f. Pronunciarse sobre la evaluación periódica l SARO, que realicen los órganos control.

g. Proveer los recursos necesarios para implementar y mantener en funcionamiento, forma efectiva y eficiente, el SARO. 5.4.2 Representante Legal El Presinte como Representante Legal la entidad ntro l Sistema Administración Riesgo Operativo cumple con las siguientes funciones: a. Diseñar y someter a aprobación la Junta Directiva u órgano que haga sus veces, el Manual Riesgo Operativo y sus actualizaciones. b. Velar por el cumplimiento efectivo las políticas establecidas por la Junta Directiva. c. Alantar un seguimiento permanente las etapas y elementos constitutivos l SARO. d. Designar el área o cargo que actuará como responsable la implementación y seguimiento l SARO -- (Unidad Riesgo Operativo). e. Desarrollar y velar porque se implementen las estrategias con el fin establecer el cambio cultural que la administración este riesgo implica para la entidad. f. Adoptar las medidas relativas al perfil riesgo, teniendo en cuenta el nivel tolerancia al riesgo, fijado por la Junta Directiva, acuerdo con el literal d) numeral 5.4.1 l presente manual. g. Velar por la correcta aplicación los controles l riesgo inherente, intificado y medido. h. Recibir y evaluar los informes presentados por la Unidad Riesgo Operativo, acuerdo con los términos establecidos en el numeral 5.4.3 l presente manual. i. Velar porque las etapas y elementos l SARO cumplan, como mínimo, con las disposiciones señaladas en el presente manual. j. Velar porque se implementen los procedimientos para la acuada administración l riesgo operativo a que se vea expuesta la entidad en sarrollo su actividad. k. Aprobar los planes contingencia y continuidad l negocio y disponer los recursos necesarios para su oportuna ejecución. l. Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución y aspectos relevantes l SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable.

m. Establecer un procedimiento para alimentar el registro eventos riesgo operativo, acuerdo con lo previsto en el numeral 3.2.5 la Circular Externa 041 2007 expedida por la Superintenncia Financiera Colombia. n. Velar porque el registro eventos riesgo operativo cumpla con los criterios integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confincialidad la información allí contenida. 5.4.3 Unidad Riesgo Operativo La Unidad Riesgo Operativo es el grupo que be coordinar la implementación, puesta en marcha y seguimiento l Sistema Administración Riesgo Operativo (SARO), conforme las directrices emanadas la Junta Directiva y l Representante Legal. La URO es inpendiente las áreas misionales, control y apoyo l ICETEX con el fin evitar conflictos interés al momento intificar, medir, controlar y monitorear los riesgos operativos. Son funciones la Unidad Riesgo Operativo las siguientes: a. Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus riesgos operativos, en concordancia con los lineamientos, etapas y elementos mínimos previstos en el presente manual. b. Desarrollar e implementar el sistema reportes, internos y externos, l riesgo operativo la entidad. c. Administrar el registro eventos riesgo operativo. d. Coordinar la recolección la información para alimentar el registro eventos riesgo operativo. e. Evaluar la efectividad los controles para los riesgos operativos acuerdo a la metodología establecida. f. Establecer y monitorear el perfil riesgo la entidad e informarlo al órgano correspondiente, en los términos l presente manual. g. Realizar el seguimiento permanente los procedimientos y planes acción relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones. h. Desarrollar y proponer para aprobación la Junta Directiva los molos medición l riesgo operativo. i. Desarrollar los programas capacitación la entidad relacionados con el SARO.

j. Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito evaluar su efectividad. k. Reportar semestralmente a la Presincia la evolución l riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos la Circular Externa 041 2007 expedida por la Superintenncia Financiera Colombia. l. Reportar al Comité SARO los eventos riesgo operativo. m. Dar oportuna respuesta a los requerimientos presentados por los entes supervisión y control. Estructura: De conformidad con la estructura orgánica aprobada, la Unidad Riesgo Operativo l Icetex se encuentra conformada por: -- Jefe la Oficina Riesgos. -- Coordinador Riesgo Crédito y Operativo. -- Profesional Especializado Grado 3 la Oficina Riesgos. -- Profesional Universitario Grado 1 la Oficina Riesgos. 5.4.4 Nivel Directivo Líres Proceso El Nivel Directivo está conformado por los Vicepresintes, Secretaria General, Jefes Oficina, Asesores Presincia y Directores áreas l Icetex. De acuerdo con el enfoque por procesos que posee la entidad, las funciones los directivos ntro l SARO están terminadas al rol que cumplen como líres proceso. Funciones l Nivel Directivo: a) Apoyar el sarrollo e implementación l Sistema Administración Riesgo Operativo l Instituto. b) Coordinar la implementación l SARO en su proceso y garantizar que se suministre el apoyo requerido a la URO. c) Aprobar el mapa riesgos operativos los procesos que lira. d) Atenr las recomendaciones y requerimientos los organismos control, supervisión y vigilancia en materia riesgo operativo. e) Mantener comunicación con la Oficina Riesgos en aras estar actualizado las exigencias l SARO. f) Asignar los Líres Riesgo su respectivo proceso.

g) Velar porque los Líres Riesgo reporten el registro eventos ntro los términos establecidos. h) Los más que por sus funciones como equipo l nivel directivo le asisten sobre el compromiso cumplimiento normas los Sistemas Administración Riesgo. 5.4.5 Líres Riesgo Son los funcionarios asignados para cada uno los procesos y que apoyan la implementación l SARO. Tendrán como marco las siguientes funciones: a) Intificar y medir los riesgos asociados a los procesos que liran, conformidad con la metodología aprobada, en coordinación con la URO. b) Con el apoyo la URO, verificar en el mapa riesgos los controles aplicados con el fin mitigar cada uno los riesgos intificados, los cuales ben ser evaluados para establecer si disminuyen la frecuencia, el impacto o ambos. c) Coordinar la formulación, el seguimiento y la ejecución planes acción, para la creación nuevos controles o implementar las modificaciones a controles existentes que permitan mitigar los riesgos, soportándose en los más funcionarios l área. El reporte y avance los mismos se realizará forma trimestral. d) Diligenciar y entregar el registro ocurrencia eventos riesgo operativo a la Unidad Riesgo Operativo, con copia al lír l proceso y/o Jefe Área. e) En aquellos casos don no haya existido materialización eventos riesgo operativo en la respectiva área, certificar mensualmente su no ocurrencia a la Unidad Riesgo Operativo. f) Mantener y fortalecer la cultura gestión riesgo operativo al interior cada proceso. g) Comunicar al lír proceso la inobservancia o incumplimiento las políticas y procedimientos l sistema riesgo operativo los funcionarios l área. 5.4.6 Funcionarios Los funcionarios son todas las personas vinculadas a la Entidad. Funciones: a) Dar soporte al Lír Riesgo en la intificación, medición y actualización los riesgos operativos inherentes a su actividad.

b) Velar por la ejecución los controles preventivos, tectivos y correctivos asociados a sus procesos y que le sean asignados bajo su responsabilidad. c) Cumplir con las acciones establecidas para el mejoramiento los controles en materia riesgo operativo. d) Dar soporte en la formulación y ejecución los planes acción para el establecimiento o mejoramiento controles. e) Cumplir con las políticas y procedimientos reporte eventos riesgo operativo, manera acuada y oportuna. f) Atenr oportunamente los requerimientos l Lír Riesgo para documentar y soportar el evento riesgo reportado. 5.4.7 Comité SARO y SARLAFT De acuerdo con lo establecido en el Acuerdo No 031 2008 el Comité SARO y SARLAFT es el órgano colegiado encargado l análisis l riesgo operativo, así como la recomendación propuestas o modificaciones a las políticas riesgo operativo, para su presentación y posterior aprobación por la Junta Directiva. El Acuerdo No 001 2007 y la Resolución Presincia No 797 2008 establecen para dicho Comité las siguientes funciones: a) Evaluar los informes sobre la evolución l perfil riesgo la entidad y los controles adoptados acuerdo con el objeto legal Icetex. b) Analizar los informes los órganos control. c) Proponer a la Junta Directiva los límites exposición y/o niveles tolerancia al riesgo operacional establecidos. d) Evaluar y proponer para aprobación la Junta Directiva: -- Las políticas y monitoreo los diferentes riesgos a que está expuesta la entidad, así como la administración la infraestructura informática y equipo humano técnico dicado a la gestión riesgos. -- Las metodologías para intificar, medir, monitorear y controlar los diferentes tipos riesgos inherentes al negocio y propios l Icetex. -- Los límites exposición riesgos globales y por tipo riesgos propuestos por un control eficiente riesgo.

--Los ajustes en políticas, metodologías y límites exposición al riesgo como consecuencia cambios en la normatividad o necesidas internas la entidad. Son miembros l Comité los siguientes funcionarios l Icetex: -- El Presinte l Icetex o su legado, quien presidirá el Comité con voz y voto -- Secretario General (podrá actuar como Presinte suplente l Comité) -- Vicepresinte Financiero con voz y voto -- Vicepresinte Crédito y Cobranza con voz y voto -- Vicepresinte Fondos en Administración con voz y voto -- Vicepresinte Operaciones y Tecnología con voz y voto -- Jefe la Oficina Jurídica con voz y voto -- Oficial Cumplimiento con voz y voto -- Jefe Oficina Riesgos con voz y voto -- Jefe la Oficina Control Interno con voz pero sin voto -- Coordinador Riesgo Crédito y Operativo con voz pero sin voto. Las liberaciones y conclusiones l Comité SARO serán registradas mediante Actas elaboradas por el Coordinador Riesgo Crédito y Operativo quien ejercerá como secretario l Comité. Este Comité se realiza trimestralmente y el quórum cisorio requiere la mitad más uno los miembros con voto. 5.4.8 Funciones los Órganos Control Son los responsables efectuar una evaluación l SARO e informar forma oportuna los resultados sus evaluaciones a los órganos competentes y a la Alta Dirección. Oficina Control Interno La Oficina Control Interno berá cumplir ntro l Sistema SARO las siguientes funciones: a) Evaluar periódicamente la efectividad y cumplimiento todas y cada una las etapas y los elementos l SARO con el fin terminar las ficiencias y sus posibles soluciones. b) Informar sobre los resultados la evaluación a la Unidad Riesgo Operativo y a la Presincia l Icetex.

c) Realizar una revisión periódica l registro eventos riesgo operativo e informar a la Presincia el cumplimiento sobre las condiciones señalas en el numeral 3.2.5 la Circular 041 2007 expedida por la Superintenncia Financiera Colombia y las que la modifiquen o sustituyan. Revisor Fiscal Sin perjuicio las normas que le asigna el Código Comercio y la normatividad expedida por parte la Superintenncia Financiera Colombia, serán funciones la Revisoría Fiscal las siguientes: a) Incluir ntro su plan actividas, la auditoría al Sistema Riesgo Operativo la Entidad y formular las recomendaciones que consire pertinentes. b) Elaborar un reporte al cierre cada ejercicio contable, en el que informe a la Junta Directiva acerca las conclusiones obtenidas en el proceso evaluación l cumplimiento las normas e instructivos establecidos sobre el SARO. c) Poner en conocimiento l Representante Legal los incumplimientos l SARO, sin perjuicio la obligación informar sobre ellos a la Junta Directiva. 5.5 Plataforma Tecnológica La plataforma tecnológica propia l sistema SARO aplica al software que asiste a las organizaciones en la implementación un sistema y cultura Gestión l Riesgo Operativo efectivo en toda la organización, en aras mejorar el sempeño l negocio y asegurar el logro los objetivos y metas, igual forma, asegura el cumplimiento las regulaciones sobre riesgos y control interno, sus requisitos transparencia y divulgación. El Icetex cuenta con un software administración riesgos ERA (Entreprise risk asesor) que le permite sarrollar la estructura l SAR acuerdo con las políticas, objetivos y metodología medición. El aplicativo contiene cuatro jerarquías o estructuras separadas que permiten construir mapas riesgos multinivel para soportar los requerimientos análisis y generación reportes. Dichas estructuras son: -- Áreas -- Riesgos -- Perfiles Riesgo -- Proceso

Áreas: Se encuentra la estructura organizacional l Icetex a la cual se vinculan los riesgos intificados y sus causas. Riesgos: Se encuentra la scripción cada uno los riesgos, sus características y la vinculación con las otras estructuras. Perfil Riesgo: Se encuentran los dos perfiles riesgo SARO vinculados a cada uno los riesgos. Causas: Es el nivel principal la estructura que contiene la metodología medición. Proceso: Contiene los procesos la Entidad vinculados a los riesgos, causas y controles. Planes Acción: Usado para administrar la implementación y el seguimiento a los tratamientos que se encuentran vinculados a los planes acción. Indicador: Permite la recolección series datos en el tiempo para realizar seguimientos y apoyar el análisis los riesgos. Eventos Pérdida: Se registra la pérdida real, el registro esta información apoyará el análisis riesgos terminado la presencia y severidad los riesgos, y la efectividad los controles asociados La herramienta a través la parametrización estas estructuras permite: -- Administrar los riesgos intificados. -- Realizar medición individual y consolidada los riesgos. -- Verificar la efectividad los controles. -- Realizar reportes a entes internos y externos. -- Generar datos estadísticos. -- Determinar el perfil riesgo inherente y residual. 5.6 Documentación El Icetex cuenta con un esquema documental para el Sistema Administración l Riesgo Operativo, el cual se encuentra bajo los estándares calidad para conservar la uniformidad todos los documentos y garantizar la integridad, confiabilidad y disponibilidad la información relacionada con SARO, en consecuencia incluye el siguiente conjunto información: Documento Objetivo Responsable

Manual Procesos y Procedimientos Consolida el qué hacer la entidad y el cómo se hace bajo el enfoque por procesos. Oficina Planeación Mapa Procesos Representar gráficamente la estructura y relación los diferentes procesos l sistema gestión calidad l Icetex. Oficina Planeación Manual Riesgo Operativo Relaciona, establece y divulga las políticas, objetivos, estructura organizacional, metodologías, estrategias, procesos y procedimientos aplicables en el sarrollo, implementación y seguimiento l Sistema Administración Riesgo Operativo SARO en el Icetex. Unidad Riesgo Operativo Mapa Riesgo Operativo Documentar la priorización actividas monitoreo control para la mitigación riesgos. Líres Proceso Unidad Riesgo Operativo y Procedimiento Reporte Eventos Garantizar el reporte eventos riesgo operativo al momento la materialización un riesgo que genere pérdidas al Icetex. Oficina Planeación Líres Riesgo y Procedimiento Gestión Reporte Eventos al Garantizar el registro acuado y oportuno l evento riesgo operativo al momento la materialización un riesgo que genere pérdidas al Icetex y asegurar que el evento riesgo sea cerrado por la Unidad Riesgo Operativo. Oficina Planeación Unidad Riesgo Operativo y Programa Mejoramiento Documentar el monitoreo realizado al sistema administración riesgo operativo. Unidad Riesgo Operativo Hoja Vida Indicadores SARO Realizar medición y evaluación las metas intificadas para el sistema SARO. Unidad Riesgo Operativo. Reporte Eventos Documentar los eventos para reporte e inclusión como riesgo en caso no existir y finición controles mitigación. Unidad Riesgo Operativo Informes a Entidas reguladoras y Informar asuntos relacionados con la evaluación l Sistema Riesgo Operativo y efectuar los reportes que Oficina Control Interno Unidad

control exige la norma. Riesgo 5.7 Capacitación El Icetex be brindar la capacitación necesaria para sarrollar las competencias los funcionarios en relación con la Administración l Riesgo Operativo, para así contar con personal competente e idóneo ntro los objetivos corporativos y la cultura autocontrol, lo cual constituye un requisito que la entidad ha asumido como un parámetro calidad para la prestación l servicio. Para tal efecto, la Presincia dispondrá los recursos necesarios con el fin lograr este propósito. 5.7.1. Mecanismos capacitación -- Plan Institucional Capacitación. Programa que recoge el esquema capacitación la Entidad en los elementos necesarios para cumplir con la misión y la estrategia propuesta, incluyendo los elementos las políticas los Sistemas Administración Riesgos. -- Diplomados o cursos en instituciones educación superior acreditadas. -- Conversatorios, conferencias y talleres. -- Herramientas tecnológicas enseñanza. -- Información relacionada con el riesgo operativo, publicada en el sitio web o en las carteleras l Icetex. 5.7.2. Mecanismos evaluación -- Evaluaciones escritas periódicas. -- Talleres evaluación grupal. 5.7.3. Reportes la evaluación -- La Unidad Riesgo Operativo be reportar al Comité SARO los resultados sus procesos capacitación y evaluación, al igual que a la Junta Directiva como órgano directamente responsable l Sistema SARO. Eventualmente la Unidad Riesgo Operativo be emitir información relacionada con el SARO a través los medios comunicación internos (cartelera, sitio web l Icetex) establecidos como refuerzo a los programas capacitación. 5.7.4. Esquema Capacitación SARO: Icetex cuenta con programas capacitación l SARO dirigidos a sus funcionarios y a las entidas con las que tiene una relación contractual

procesos tercerizados. Las características dichos programas capacitación son: -- Los programas capacitación serán diseñados, revisados, actualizados y evaluados por la Oficina Riesgos y el Grupo Talento Humano. -- Los programas capacitación tendrán al menos una periodicidad anual o se realizarán cada vez que un área o funcionario así lo requiera. -- El programa capacitación será impartido durante el proceso inducción a los nuevos funcionarios. -- Los programas capacitación berán contar con los mecanismos evaluación los resultados obtenidos con el fin terminar la eficacia dichos programas y el alcance los objetivos propuestos. --Las capacitaciones serán impartidas a los terceros siempre que exist a una relación contractual con estos y sempeñen actividas para la entidad. 5.7.5. Estructura l Programa Capacitación: El programa anual capacitación berá contener una estructura cuyo alcance profundice en los elementos l SARO incluyendo los siguientes puntos aspectos: Programa Clase Dirigido a Marco Legal. Beneficios SARO. Sensibilización Estratégica Presincia Comité Técnico y Indicadores Gestión. Molo Operación por Procesos. Metodologías y procedimientos Intificación, medición, control y monitoreo los Riesgos. Marco Legal. Estructura Conceptual SARO. Roles y Responsabilidas. Proceso Administración l Riesgo. Políticas la Entidad relacionadas con Entrenamiento Líres Riesgo Capacitación Todos los funcionarios l Icetex

SARO. Marco Legal. Estructura Conceptual SARO. Políticas la Entidad relacionadas con SARO. Capacitación Terceros con Relación Contractual 5.8 Divulgación -- Como parte integral la capacitación y divulgación la información, el Manual l Sistema Administración Riesgo Operativo be ser socializado a todos los funcionarios l Icetex. -- Los Líres Riesgo y los Líres Proceso finidos ntro l Sistema Gestión Calidad ben tener copia los mapas riesgo sus procesos, así como el correspondiente plan acción que se rive este si se requiere. -- El compendio la información (mapa - matriz - plan acción) lo be tener el Lír Proceso. -- La Oficina Riesgos trimestralmente be realizar el Reporte Administración l Riesgo, que contiene el avance los planes acción la entidad el cual be ser presentado en el Comité SARO. -- El monitoreo los riesgos operativos be realizarse semestralmente y el informe l mismo se ben entregar a la Presincia al Comité SARO y a la Junta Directiva. Así mismo los avances la intificación, medición, control y monitoreo se ben entregar a la Presincia al Comité SARO y a la Junta Directiva. -- Los cambios que se presenten durante las diferentes etapas l SARO con su respectiva justificación, y que hacen parte integral l monitoreo, be ser presentados en su orn a: la Presincia, al Comité SARO y a la Junta Directiva. -- El Mapa Riesgo Operativo se be actualizar cada vez que existan riesgos asociados a cambios productos, servicios o programas tecnología o nuevos proyectos, para presentarlos a la Presincia, al Comité SARO y a la Junta Directiva. -- La copia l Mapa Riesgo be reposar en la Oficina Riesgos con el fin realizar los ajustes requeridos al plan acción. Esta información se be encontrar disponible para los órganos control y vigilancia internos y externos cuando estos lo requieran.

-- Los resultados l SARO, ben darse a conocer a través informes internos y externos periódicos la siguiente manera: 5.8.1 Informes Internos: Definición Clase Periodicidad Responsable Informe: Perfil Riesgo la Entidad. Interno Semestral Oficina Riesgos Informe Gestión Riesgo. Interno Semestral Oficina Riesgos Informe Órganos Control Interno Anual Oficina Control Interno 5.8.2 Informes externos: Definición Clase Periodicidad Responsable Notas a los Estados Financieros Externo Anual Oficina Riesgos/ Dirección Contabilidad/ Presincia 5.8.3 Información sobre revelación contable: Definición Clase Periodicidad Responsable Estados Financieros Revelación Contable Anual Presincia, Dirección Contabilidad y Revisor Fiscal 6. Políticas l sistema administración riesgo operativo La administración l Sistema Administración Riesgo Operativo seguirá principios que rigen el actuar los diferentes funcionarios partícipes y la estructura gobierno corporativo propio l Sistema y que se finen como: Principio inpenncia La Unidad Riesgo Operativo URO y sus funcionarios son inpendientes las áreas misionales, control y las más áreas apoyo la entidad, con el fin evitar conflictos interés al momento intificar, medir, controlar y monitorear los riesgos operativos. Principio transparencia Todas las funciones la URO serán ejecutadas con estricta sujeción a las políticas, reglas y procedimientos que se establezcan para administración l

riesgo operativo y a las directrices trazadas por la Junta Directiva y el Comité SARO. Toda actuación un funcionario l Icetex se sujetará ntro l marco l Manual que scribe las políticas l Sistema SARO y las más normas concordantes que rigen la Entidad. Principio sostenibilidad La sostenibilidad la operación l Icetex be estar relacionada con el nivel riesgo operativo asumido en cada caso, respetando los criterios seguridad y responsabilidad que en todo momento berán observar los funcionarios la Entidad. El Icetex ha finido las directrices que guiarán las actuaciones relacionadas con el SARO, los funcionarios y terceros relacionados contractualmente con la Entidad. La Oficina Riesgos será la encargada la ejecución dichas políticas, la Alta Dirección realizará la revisión y la Junta Directiva aprobará la estructura y políticas l Sistema Administración Riesgo Operativo. Para tal efecto, se han clasificado las políticas en Estratégicas, Administrativas, Operativas y Documentales. 6.1 Políticas Estratégicas Definen los criterios y lineamientos generales actuación encaminados a generar una alineación entre el direccionamiento estratégico y elsistema Administración Riesgo Operativo l Icetex. Política Aplicación Seguimiento y evaluación Ejecución Responsable Acción Responsable La Junta Directiva y la Presincia Icetex, reconocen en la Administración l Riesgo Operativo, una herramienta gestión que le permitirá mantener bajo -Presentar informe riesgo operativo a la Junta Directiva -Reportar a la presincia evolución l riesgo, Oficina Riesgos Revisión informes Verificación envío informes Presincia y Junta Directiva Comité SARO

estricto control los riesgos en cada uno sus procesos que le impidieran cumplir el logro sus objetivos. controles implementados y monitoreo La Junta Directiva y la Presincia Icetex, se comprometen con el sarrollo y mantenimiento un eficaz Sistema Administración l Riesgo Operativo - Aprobar el Manual SARO - Pronunciarse sobre los informes riesgos presentados a Junta Directiva - Asignar partida presupuestal para el sarrollo l sistema administración riesgo operativo. Junta Directiva Presincia Seguimiento Junta Directiva Icetex asegurará la prevención y resolución conflictos interés en la recolección información en las diferentes etapas l SARO, especialmente para el registro eventos riesgo operativo - Aplicar l proceso Gestión Riesgo operativo, conforme los procedimientos publicados en la herramienta Doc. Manager Oficina Riesgos Seguimiento Comité SARO Los funcionarios Icetex, incorporan como parte integral l sarrollo sus actividas las correspondientes al SARO. Manual SARO Oficina Riesgos Seguimiento Comité SARO

La Oficina Riesgos realizará semestralmente, las acciones pertinentes para intificar nuevos riesgos, cambios en la calificación riesgos inherentes, evaluación controles que afecten el riesgo residual. Aplicar metodología scrita en el Manual SARO Aplicar proceso Gestión Riesgo operativo el Oficina Riesgos Seguimiento Comité SARO Los funcionarios berán conocer y cumplir las normas internas y externas relacionadas con la Administración l Riesgo Operativo. - Socializar Manual SARO. Oficina Riesgos Evaluaciones conocimiento Oficina Riesgos La Presincia berá ser responsable implementar el marco Administración l Riesgo Operacional aprobado por la Junta Directiva. - Poner en funcionamiento los procesos y procedimientos la Gestión Riesgo Operativo, y las metodologías sarrolladas. - Construir el mapa Riesgo Operativo. Oficina Riesgos - Evaluar los informes presentados por la Oficina Riesgos. Presincia - Solicitar los planes mejoramiento o planes acción acuerdo con la criticidad los riesgos a los líres riesgo. - Reportar a la

Presincia la evolución l riesgo. 6.2 Políticas Administrativas Definen los criterios y lineamientos generales para administrar el SARO. Política Aplicación Seguimiento y evaluación Ejecución Responsabl e Acción Responsable Icetex berá tener la estructura organizacional que soporta la Administración Riesgo Operativo, así como la finición los roles, responsabilida s y funciones específicas relacionadas. Ejecutar los roles responsabilida s y funciones finidos Oficina Riesgos Todos los funcionarios Revisión la ejecución los roles responsabili- das funciones finidos y Comité SARO La Oficina Riesgos, como responsable l SARO penrá directamente la Presincia y será inpendiente las áreas control y operación. Actuar conforme a la estructura organizacional l Icetex Presincia Seguimiento. Comité SARO Icetex berá tener una metodología aprobada para la -Desarrollar metodologías y finir instrumentos Oficina Riesgos Seguimiento a los resultados la aplicación Comité SARO

intificación, medición, control y Monitoreo riesgos operativos para la intificación, medición, control y monitoreo SARO. la metodología -Documentar las metodologías en el Manual SARO Los responsables la intificación, medición, control, así como la inclusión nuevos riesgos, cambios en la medición, mejoramiento e inclusión nuevos controles será cada uno los líres proceso bajo la orientación la Oficina Riesgos. - Designar a los Líres Riesgo para trabajar conjuntamente con la Oficina Riesgos en la intificación y medición los riesgos y controles los procesos. -Aprobar oportunamente los mapas riesgo operativo resultado l trabajo efectuado con los Líres Riesgo Líres Proceso -Validación semestral los Líres Riesgo -Solicitud por medio físico o magnético la aprobación l mapa riesgos -Realizar actas los cambios y/o actualizacione s efectuados al mapa riesgos Oficina Riesgos Los criterios evaluación y control l riesgo se finen acuerdo al nivel tolerancia al riesgo por parte Icetex y son asumidos y aprobados por la Junta Directiva, permitiendo la intificación nuevos controles y cambios en el perfil riesgo. - Aplicar la metodología monitoreo Oficina Riesgos Seguimiento Comité SARO El personal - Vincular a Grupo Seguimiento Comité

adscrito a la URO be contar con el conocimiento suficiente y experiencia en riesgo operativo para el correcto ejercicio sus funciones. funcionarios nuevos acuerdo con el Manual Funciones - Realizar planes y programas permanentes capacitación a los funcionarios adscritos a la URO Talento Humano Oficina Riesgos SARO La Oficina Riesgos junto con el área Talento Humano berán diseñar e implementar los programas capacitación y actualización anual a todos los empleados, los funcionarios que ingresen al Icetex y terceros vinculados con la operación la Entidad. -Realizar capacitación a los funcionarios y outsourcing Oficina Riesgos Talento Humano Seguimiento al indicador capacitación Balance Score Card. Ejecución l plan auditoría al sistema SARO Oficina Asesora Planeació n 6.3 Políticas Operativas Fijan directrices que orientan eficaz y eficientemente las operaciones sobre la entidad y gestión para el logro los objetivos l Sistema Administración l Riesgo Operativo en el Icetex. Política Aplicación Seguimiento y evaluación Ejecución Responsable Acción Responsable Todas las funciones la URO serán ejecutadas con Actuar conforme a lo establecido en Oficina Riesgos Seguimiento Junta Directiva Comité

estricta sujeción a las políticas, reglas y procedimientos que se establezcan para administración l riesgo operativo y a las directrices trazadas por la Junta Directiva y el Comité SARO el SARO Manual SARO La Junta Directiva l Icetex con el apoyo l Comité SARO y la Oficina Riesgos ha establecido el nivel tolerancia al riesgo operativo en tolerable. Realizar el monitoreo y reporte permanente a los riesgos operativos y los controles Oficina Riesgos Revisión informe l monitoreo Junta Directiva Comité SARO La URO be administrar la información y bases datos riesgo operativo, apoyar a los líres proceso en la intificación los eventos riesgo, en el registro dichos eventos, en el diseño los planes acción y en el seguimiento a los mismos Aplicar el procedimiento asociados al reporte eventos. Realizar monitoreo a los riesgos Oficina Riesgos Seguimiento Junta Directiva Comité SARO Las políticas, procedimientos, normas y estrategias sobre el riesgo operativo se berán revisar y actualizar por lo menos una vez al año, incluyendo una completa revisión la efectividad las actividas intificación, evaluación, monitoreo y control Realizar el monitoreo al sistema SARO Oficina Riesgos Revisión informe SARO Comité SARO

l riesgo. Como mínimo semestralmente, se berá monitorear y evaluar los riesgos operativos y registrar en los mapas y en el plan acción sus respectivas actualizaciones. Programar monitoreo semestral Oficina Riesgos Revisión informe SARO Comité SARO El Icetex berá contar con el mapa riesgos, así como sus responsables, calificaciones y planes acción. Elaboración l Mapa Riesgos por proceso y consolidado Oficina Riesgos Seguimiento Junta Directiva Comité SARO La medición los riesgos operativos se berá realizar forma cualitativa y acor con la metodología aprobada por la Junta Directiva. De igual manera el Icetex be elaborar y llevar un registro eventos materializados. Aplicar la metodología scrita en el Manual SARO Oficina Riesgos Seguimiento Comité SARO El Lír Riesgo be comunicar mediante los formatos apropiados a la unidad Riesgo Operativo todos los eventos que afecten el Sistema Administración Riesgo Operativo, con sus respectivos soportes. Capacitación sobre eventos riesgo al lír riesgo. Entregar los formatos en el tiempo establecido. Oficina Riesgos Líres Riesgo Seguimiento Comité SARO 6.4 Políticas Documentales Definen directrices que orientan al Icetex, en el control los documentos y el control los registros l Sistema Administración l Riesgo Operativo en el Icetex.