POLÍTICA DE GESTIÓN DE RIESGOS 1. Objetivo 1.1. Establecer las directrices y responsabilidades en la gestión de riesgos, especialmente en lo relativo a la identificación y análisis de los riesgos que puedan afectar a la empresa, así como establecer controles y procedimientos para monitoreo con el objeto de prevenir su ocurrencia o minimizar su impacto. 2. Alcance 2.1. Este Documento Normativo se aplica a todos los Macroprocesos, Operaciones de Negocio y empresas Gerdau. 3. Definiciones: 3.1. Riesgos son factores o eventos inciertos que pueden causar impactos negativos que dificulten o imposibiliten el cumplimiento de los objetivos de la Empresa. 3.2. Riesgos de negocio son los asociados a la estrategia de la compañía (ambiente político y social, mercado, competidores, fusiones y adquisiciones, disponibilidad de materias primas), a sus finanzas (ambiente económico, generación de caja, endeudamiento, aplicación y captación de recursos financieros, mercado de capitales, variación cambiaria), compliance (cumplimiento de leyes y reglamentos), a la imagen y reputación y a la operación (tecnología, modelo de gestión, cultura empresaria, capacitación y sucesión de recursos humanos). 3.3. Riesgos operativos son los que resultan de la inadecuación o falla de los procesos internos, personas o ambiente de tecnología que puedan dificultar o impedir el cumplimiento de los objetivos de la empresa. Dichos riesgos están asociados tanto al proceso industrial como a la gestión de áreas administrativas, como marketing y ventas, suministros, logística, salud y seguridad ocupacional, medio ambiente, tecnología de la información, gestión de personas y relaciones sindicales. 3.4. Comité Executivo Gerdau: en adelante designado CEG. 3.5. Gerdau Business System: en adelante designado GBS. 3.6. Comité de Riesgos: comité cuya composición es determinada por el CEG, en adelante designado Comité.1 3.7. Canal de Ética: herramienta para informar desvíos éticos y aclarar dudas relacionadas con el tema. A los denunciantes se les asegura el anonimato, el tratamiento confidencial del incidente y la inexistencia de represalias. 4. Directrices 4.1. La empresa identifica y trata los riesgos de negocio y operativos con el objeto de asegurar el cumplimiento de las metas establecidas en su planificación estratégica. 1 Composición actual del Comité de Riesgos: Director Presidente, Director General de Operaciones, Vicepresidente Jurídico y de Compliance, Vicepresidente de Finanzas, Contraloría y RI, Director Contable y Gerente de Auditoría Interna. POLÍTICA DE GESTIÓN DE RIESGOS 4.2. Los riesgos se identifican y evalúan de acuerdo con la probabilidad de ocurrencia y su impacto en el negocio, inclusive, en la imagen de la empresa. Cada decisión tomada considera los beneficios, los aspectos negativos y los riesgos relacionados, midiendo la relación entre impacto y mitigación. 4.3. Por delegación del CEG, el Comité sigue temas relevantes, listados a continuación: 4.3.1.Estado de las evaluaciones sobre los controles resultantes de la Ley Sarbanes Oxley. 4.3.2.Principales trabajos de auditoría sobre riesgos operativos. 4.3.3.Estadísticas de ética y temas relevantes de Compliance. 4.3.4.Principales incidentes registrados en el Canal de Ética respetados el anonimato y la confidencialidad.2 4.3.5.Riesgos ambientales, como destino de residuos y áreas potencialmente impactadas. 4.3.6.Riesgos de seguridad empresaria, como los riesgos de pérdida patrimonial para la empresa, así como para la seguridad física de los Colaboradores en las diversas localidades en que Gerdau actúa. 4.3.7.Riesgos de seguridad de la información. 4.3.8.Contingencias jurídicas. 4.4. El Comité evalúa la adecuación de los controles de los riesgos asociados a cada macroproceso y/u operación a través de la evaluación de los indicadores del GBS. Además, cada dos años o por demanda, cada macroproceso y/u operación le presenta al Comité las respectivas prácticas de gestión de riesgos y el informe de sus actividades en dicha área el último año. 4.5. Semestralmente, el Comité le rinde cuentas de sus actividades al CEG y anualmente, al Consejo de Administración. 4.6. El plan anual de auditoría se elabora tomando como base, entre otros, los resultados de los trabajos anteriores de auditoría, los resultados de las pruebas de la certificación Sarbanes-Oxley, la compilación de las entrevistas con la Alta Administración, realizadas cada tres años, y las informaciones recibidas de los gestores de los procesos. En este plan también consta el grado de exposición a riesgos de todos los procesos/unidades de la empresa a partir del cual se definen los trabajos de auditoría del año siguiente. 4.7. Además del plan anual, la Auditoría realiza trabajos por demanda de la Alta Administración y resultantes del Canal de Ética. 4.8. Los análisis del Comité deben servir de base para elaborar las informaciones que se brindarán en cumplimiento de exigencias legales y/o normativas. 4.9. La divulgación externa de informaciones involucrará los riesgos que se detallan a continuación: 4.9.1.Riesgos de Negocio - General 4.9.1.1.Crisis/retracción económica 4.9.1.2.Demanda cíclica 2 Las denuncias pueden enviarse a través del Canal de Ética o, a criterio del denunciante, directamente al Consejo Fiscal. POLÍTICA DE GESTIÓN DE RIESGOS 4.9.2.Riesgos Políticos 4.9.2.1.Políticas gubernamentales 4.9.3.Riesgos Financieros 4.9.3.1.Inflación 4.9.3.2.Reducción del crédito para clientes 4.9.3.3.Tasa de interés 4.9.3.4.Riesgo de crédito 4.9.3.5.Variación cambiaria 4.9.3.6.Gestión de capital (relación entre las deudas financieras y el capital propio) 4.9.3.7.Riesgo de liquidez 4.9.3.8.El mercado de capitales puede ser afectado por acontecimientos políticos, económicos y sociales 4.9.3.9.Costo de capital 4.9.4.Riesgos de Estrategia 4.9.4.1.Suministros: chatarra, mena de hierro y carbón 4.9.4.2.Fusiones y adquisiciones: integración de nuevos negocios 4.9.4.3.Energía 4.9.4.4.Mercado y competidores 4.9.5.Riesgos de Compliance 4.9.6.Riesgos de Reputación 4.9.7.Riesgos Operativos 4.9.7.1.Fallas en equipos 4.9.8.Riesgos de Recursos Humanos 4.9.8.1.Costo de despidos 4.9.8.2.Preparación de personas y sucesión 4.9.8.3.Cultura organizacional y comunicación 5. Responsabilidades 5.1. Consejo de Administración 5.1.1.Define el perfil de riesgos de la empresa a través de los directores estratégicos y orientación general al CEG, y asegura la efectividad del sistema de control de riesgos. 5.2. Comité Executivo Gerdau (CEG) 5.2.1.Asegura la existencia de una estructura adecuada y supervisa la gestión de riesgos; identifica, evalúa y trata los riesgos de negocio al ejecutar la planificación estratégica. 5.3. Comité de Riesgos 5.3.1.Por delegación del CEG, sigue los riesgos y contingencias listados en el ítem 4.3 del presente, así como los riesgos gestionados a nivel de cada macroproceso y/u operación para verificar la efectividad de los controles existentes y aprueba el plan anual de auditoría. 5.4. Auditoría Interna 5.4.1.Identifica los riesgos operativos y respectivos controles internos de los procesos. POLÍTICA DE GESTIÓN DE RIESGOS Anualmente, realiza la evaluación de riesgos con el objeto de elaborar el Plan de Auditoría para el ejercicio siguiente. 6. Disposiciones Finales 6.1. Los casos omisos, excepciones, así como los ajustes a la presente Política de Gestión de Riesgos deben ser enviados para aprobación por el Process Owner do Macroproceso de Ética y Compliance y validados por el CEG. 6.2. Esta Política fue aprobada en reunión del Consejo de Administración y tiene vigencia inmediata.