Post on 19-Nov-2018
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 1/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
MANUAL DE GESTÃO DE RISCOS COPERGÁS
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 2/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Conteúdo
1. OBJETIVO ....................................................................................................................................... 3
2. CAMPO DE APLICAÇÃO ................................................................................................................. 4
3. REFERÊNCIAS ................................................................................................................................ 5
4. CONTEÚDO GERAL ........................................................................................................................ 6
4.1. Tabela de figuras ....................................................................................................................... 6
4.2. Símbolos e abreviações ............................................................................................................ 7
4.3. Conceitos ..................................................................................................................................... 8
4.3.1. Risco...................................................................................................................................... 8
4.3.2. Risco de negócio ................................................................................................................. 8
4.3.3. Gestão de risco corporativo .............................................................................................. 8
4.3.4. Apetite, tolerância e exposição ao risco ......................................................................... 8
4.3.5. Controles internos .............................................................................................................. 8
4.3.6. Governança corporativa .................................................................................................... 9
4.3.7. COSO® ERM ......................................................................................................................... 9
4.3.8. Impacto e vulnerabilidade ................................................................................................. 9
4.3.9. Fonte de risco ...................................................................................................................... 9
4.3.10. KRI – Key Risk Indicator ................................................................................................... 9
4.3.11. Premissa para avaliação de riscos ................................................................................... 9
4.4. Plano de treinamento .............................................................................................................. 11
4.4.1. Treinamento do staff da área de gestão de riscos ...................................................... 11
4.4.2. Plano de conscientização da Organização e treinamento de novos funcionários .. 12
4.5. Plano de comunicação ............................................................................................................. 13
5. CONTEÚDO ESPECÍFICO ............................................................................................................ 14
5.1. Missão e visão da gestão de riscos ....................................................................................... 14
5.1.1. Missão da gestão de riscos da COPERGÁS ................................................................... 14
5.1.2. Visão da gestão de riscos da COPERGÁS ..................................................................... 14
5.2. Estrutura organizacional ......................................................................................................... 15
5.3. Competências e responsabilidades ....................................................................................... 16
5.4. Processo de gestão integrada de riscos ............................................................................... 19
5.4.1. Etapa de identificação e avaliação de riscos ................................................................ 20
5.4.2. Etapa de resposta e mensuração de riscos (tratamento de riscos) ......................... 29
5.4.3. Etapa de monitoramento contínuo e reporte dos riscos ............................................ 35
5.5. Metodologias ............................................................................................................................. 37
5.5.1. COSO® ERM ....................................................................................................................... 37
5.5.2. ABNT ISO 31000:2009 .................................................................................................... 45
ANEXOS ............................................................................................................................................... 50
ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES ......................................................... 51
ANEXO II – DICIONÁRIO DE RISCOS ......................................................................................... 54
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 3/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
1. OBJETIVO
Definir orientações gerais para o processo de gestão integrada de riscos, de forma a assegurar que:
Os riscos de negócio inerentes às atividades da COPERGÁS sejam identificados, analisados,
avaliados e um plano de tratamento seja definido.
A estrutura de controles internos seja continuamente revisada, considerando os riscos
existentes nos processos de negócio, minimizando os custos associados a riscos não
controlados;
Os potenciais conflitos de interesse sejam identificados e os riscos associados sejam
minimizados, através da implementação de medidas para segregação de funções e/ou
monitoramento das atividades;
Todos os empregados compreendam claramente os objetivos do processo de gestão de
riscos e os papéis, as funções e as responsabilidades atribuídas aos diversos níveis da
Companhia;
O fluxo de reporte e limites de tolerância estejam previamente aprovados pela Alta
Administração;
Os planos de resposta aos riscos sejam tempestivamente monitorados pelas instâncias
responsáveis na Companhia;
Os objetivos estratégicos da Companhia sejam plenamente atendidos;
A COPERGÁS atenda aos critérios da Lei nº 13.303/16
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 4/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
2. CAMPO DE APLICAÇÃO
Este manual aplica-se a todos os níveis organizacionais da Companhia, os quais são integrantes do
processo de gerenciamento de riscos, direta ou indiretamente.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 5/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
3. REFERÊNCIAS
- Código de Conduta e Integridade da COPERGÁS;
- Plano Anual de Auditoria Interna.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 6/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
4. CONTEÚDO GERAL
4.1. Tabela de figuras
FIGURA 1 LINHAS DE DEFESA DO RISCO .......................................................................................... 15
FIGURA 2 ESTRUTURA ORGANIZACIONAL DA GESTÃO DE RISCOS ............................................................. 15
FIGURA 3 PROCESSO DE GESTÃO INTEGRADA DE RISCOS ...................................................................... 19
FIGURA 4 COMPONENTES DO PROCESSO DE GESTÃO DE RISCOS .............................................................. 20
FIGURA 5 LEGENDA DO DICIONÁRIO DE RISCOS ................................................................................. 21
FIGURA 6 DICIONÁRIO DE RISCOS ................................................................................................ 21
FIGURA 7 MODELO DE CLASSIFICAÇÃO DE MACROPROCESSOS (MPC) ...................................................... 22
FIGURA 8 MAPA DE RISCOS ........................................................................................................ 24
FIGURA 9 CRITÉRIOS PARA AVALIAÇÃO DO IMPACTO ............................................................................ 25
FIGURA 10 PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................... 25
FIGURA 11 METODOLOGIA PARA AVALIAÇÃO DE RISCOS ....................................................................... 26
FIGURA 12 CRITÉRIOS PARA AVALIAÇÃO DA VULNERABILIDADE ............................................................... 27
FIGURA 13 PROCESSO DE AVALIAÇÃO DE RISCOS NOS PROCESSOS .......................................................... 27
FIGURA 14 METODOLOGIA PARA AVALIAÇÃO DE RISCOS NOS PROCESSOS ................................................... 27
FIGURA 15 COSO® ERM – INTERNATIONAL INTEGRATED FRAMEWORK .................................................... 37
FIGURA 16 COSO® ERM – INTERNAL ENVIRONMENT ......................................................................... 37
FIGURA 17 COSO® ERM – OBJECTIVE SETTING............................................................................... 38
FIGURA 18 COSO® ERM – EVENT IDENTIFICATION ........................................................................... 39
FIGURA 19 COSO® ERM – RISK ASSESSMENT ................................................................................ 39
FIGURA 20 COSO® ERM – RISK RESPONSE ................................................................................... 40
FIGURA 21 COSO® ERM – CONTROL ACTIVITIES ............................................................................. 41
FIGURA 22 COSO® ERM – INFORMATION & COMMUNICATION .............................................................. 42
FIGURA 23 COSO® ERM – MONITORING ....................................................................................... 43
FIGURA 24 ISO 31000:2009 – PROCESSO DE GESTÃO DE RISCOS ........................................................ 45
FIGURA 25 ISO 31000:2009 – COMUNICAÇÃO E CONSULTA ............................................................... 45
FIGURA 26 ISO 31000:2009 – ESTABELECIMENTO DO CONTEXTO......................................................... 46
FIGURA 27 ISO 31000:2009 – PROCESSO DE AVALIAÇÃO DE RISCOS .................................................... 46
FIGURA 28 ISO 31000:2009 – TRATAMENTO DE RISCOS ................................................................... 48
FIGURA 29 ISO 31000:2009 – MONITORAMENTO E ANÁLISE CRÍTICA .................................................... 48
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 7/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
4.2. Símbolos e abreviações
ABNT – Associação Brasileira de Normas Técnicas.
AGR – Análise Geral de Riscos.
COSO® ERM – Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk
Management.
COPERGÁS – Companhia Pernambucana de Gás.
IBGC – Instituto Brasileiro de Governança Corporativa.
ISO – International Organization for Standardization.
KRI – Key Risk Indicator.
MCP – Modelo de Classificação de Processos.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 8/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
4.3. Conceitos
4.3.1. RISCO
Conforme definido no COSO® ERM, risco é a possibilidade de ocorrência de um evento, oriunda de
fontes internas ou externas, capaz de afetar adversamente o atendimento dos objetivos da
Companhia.
É o efeito da incerteza nos objetivos. [ABNT ISO GUIA 73:2009, definição 1.1]
4.3.2. RISCO DE NEGÓCIO
É a exposição a impactos negativos resultantes de decisões ou eventos não esperados de natureza
estratégica, operacional, financeira, legal e outros decorrentes da maneira pela qual a organização
busca atingir os seus objetivos.
4.3.3. GESTÃO DE RISCO CORPORATIVO
É um conceito de avaliação e gerenciamento de incertezas (“riscos”) enfrentadas pela Companhia
por meio de um enfoque estruturado de controles que alinha estratégia, processos, pessoas,
tecnologia e conhecimentos, objetivando a preservação e criação de valor aos stakeholders.
Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. [ABNT
ISO GUIA 73:2009, definição 2.1]
4.3.4. APETITE, TOLERÂNCIA E EXPOSIÇÃO AO RISCO
Apetite ao risco é a exposição a risco que a Companhia está disposta a aceitar para atingir suas
metas e objetivos, preservar e criar valor, estando diretamente relacionada à sua estratégia.
[COSO® ERM]
Quantidade e tipos de riscos que uma organização está preparada para buscar ou reter. [ABNT ISO
GUIA 73:2009, definição 3.7.1.2]
O apetite ao risco reflete a filosofia de gerenciamento de riscos da Companhia.
A tolerância ao risco é o nível aceitável de variação do apetite, considerando o atendimento de
objetivos específicos da Companhia. [COSO® ERM]
Disposição da organização ou parte interessada em suportar o risco após o seu tratamento, a fim de
atingir os seus objetivos. [ABNT ISO GUIA 73:2009, definição 3.7.1.3]
Ao contrário do apetite ao risco, que é ampla, a tolerância ao risco é tática e específica. Isto é, ela
deve ser expressa em unidades mensuráveis, aplicável em todos os níveis da organização.
A exposição ao risco é determinada considerando a avaliação do risco, pela combinação do
impacto e vulnerabilidade; deve estar dentro do apetite/tolerância a risco definidos pela Companhia.
Medida em que uma organização ou parte interessada está sujeita à um evento. [ABNT ISO GUIA
73:2009, definição 3.6.1.2]
4.3.5. CONTROLES INTERNOS
Controle interno é definido como um processo, executado pela Alta Administração, gerência ou
outros colaboradores da Companhia, considerando políticas, procedimentos, atividades e
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 9/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
mecanismos designados para proporcionar uma razoável segurança para realização dos objetivos de
negócio. Um processo conduzido pela estrutura de governança, pela administração e por outros
profissionais da entidade, e desenvolvido para proporcionar garantia (segurança) razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. [COSO®
ERM 2016]
4.3.6. GOVERNANÇA CORPORATIVA
Conforme definido pelo Instituto Brasileiro de Governança Corporativa (IBGC), governança
corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre acionistas, Conselho de Administração, Diretoria e órgãos de
controle. As boas práticas de governança corporativa convertem princípios em recomendações
objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da Companhia,
facilitando seu acesso ao capital e contribuindo para a sua sustentabilidade.
4.3.7. COSO® ERM
Modelo internacional de controles internos composto por oito camadas (Ambiente Interno, Definição
de Objetivos, Identificação dos Riscos, Avaliação do Risco, Tratamento do Risco, Ambiente de
Controle, Informação e Comunicação e Monitoramento). É uma iniciativa conjunta de cinco
organizações do setor privado que se propõe a liderar a geração de conhecimento por meio de
desenvolvimento de estruturas e diretrizes sobre controles internos, gerenciamento de riscos
corporativos e prevenção de fraudes. [COSO® ERM 2016]
4.3.8. IMPACTO E VULNERABILIDADE
Impacto: é a extensão a que a Companhia pode estar exposta em relação aos objetivos de
negócios, antes e/ou depois da avaliação do respectivo risco, podendo ser de ordem tangível ou
intangível.
Vulnerabilidade: considera a atual estrutura de controles da Companhia: técnicas atuais para
mitigação de riscos, eficiência e eficácia de controles, histórico e impactos anteriores de riscos,
complexidade do gerenciamento de riscos e nível de crescimento e contração. É a extensão à qual a
Companhia pode estar exposta em relação aos objetivos de negócios ou desprotegida em relação
aos impactos negativos depois que os controles existentes foram avaliados. Propriedades intrínsecas
de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma
consequência. [ABNT ISO GUIA 73:2009, definição 3.6.1.6]
4.3.9. FONTE DE RISCO
Situações e/ou circunstâncias que podem levar à ocorrência, ou ao aumento da probabilidade de
ocorrência, de uma situação de risco. Elemento que, individualmente ou combinado, tem o potencial
intrínseco para dar origem ao risco. [ABNT ISO GUIA 73:2009, definição 3.5.1.2]
4.3.10. KRI – KEY RISK INDICATOR
KRI é uma medida utilizada para avaliar como o risco se comporta e para fornecer alertas de forma
rápida e antecipada quanto à exposição, seu potencial de ganho ou perda futura, ou seja, a
possibilidade de impacto positivo ou negativo do risco nos processos de negócio da Companhia.
4.3.11. PREMISSA PARA AVALIAÇÃO DE RISCOS
Quanto maior impacto e vulnerabilidade, maior é o nível de exposição ao risco.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 10/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 11/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
4.4. Plano de treinamento
A seguir descrevemos o plano de treinamento a ser adotado pela COPERGÁS, a fim de assegurar
que:
• A cultura de Gestão de Riscos seja disseminada por toda a Companhia, atingindo as
diversas áreas;
• Todos os funcionários compreendam claramente os objetivos do processo de Gestão de
Riscos, bem como os papéis, funções e as responsabilidades atribuídas aos diversos níveis
hierárquicos da Companhia;
• Todos os funcionários tenham conhecimento dos meios de comunicação disponíveis para o
processo de Gestão de Riscos, conforme o plano de comunicação definido.
O programa de treinamento deverá abranger todos os funcionários da COPERGÁS, observando seu
grau de participação nas funções de Gestão de Riscos e será estruturado em três etapas distintas,
quais sejam:
4.4.1. TREINAMENTO DO STAFF DA ÁREA DE GESTÃO DE RISCOS
Os funcionários designados a atuarem na Área de Governança, Conformidade e Riscos devem
receber treinamento específico e contínuo em Gestão de Riscos, atendendo a cursos, palestras e
seminários específicos, abordando os seguintes assuntos:
• Política de Gestão de Riscos da COPERGÁS;
• Conceitos de Gestão Integrada de Riscos;
• Critérios e premissas para avaliação de riscos e controles internos;
• Explicação sobre o funcionamento da metodologia e ferramentas utilizadas para o processo
de Gestão de Riscos da COPERGÁS, contemplando:
− Modelo de Classificação de Processos – MCP;
− Linguagem Comum de Riscos – LCR;
− Sistema informatizado para Gestão de Riscos;
− Modelo de autoavaliação de controles (Control Self Assessment).
• Procedimentos para elaboração e monitoramento de planos de remediação/mitigação de
riscos;
• Legislação aplicável às atividades da Companhia (saneamento, regulatória, ambiental,
fiscal, etc.);
• Segurança da informação; e
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo
com o plano de comunicação.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 12/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
4.4.2. PLANO DE CONSCIENTIZAÇÃO DA ORGANIZAÇÃO E TREINAMENTO DE NOVOS FUNCIONÁRIOS
O plano de conscientização dos empregados quanto à importância do processo de Gestão de
Riscos deverá ser realizado no início das atividades de Gestão de Riscos e deve ser repetido
sempre que a Alta Administração julgar necessário.
Esta etapa consiste na realização de palestras para grupos de empregados, a serem ministradas
por membros da Área de Governança, Conformidade e Riscos.
Os seguintes tópicos deverão ser abordados nas palestras:
• Definição dos conceitos de risco e Gestão de Riscos;
• Apresentação da missão e visão do processo de Gestão de Riscos;
• Conscientização sobre a importância da Gestão de Riscos;
• Apresentação da composição do Comitê de Auditoria Estatutário;
• Descrição da estrutura criada na COPERGÁS para desempenhar as atividades e os
empregados envolvidos;
• Explicação acerca da importância da participação das demais áreas no processo de Gestão
de Riscos;
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo
com o plano de comunicação; e
• Esclarecimento de eventuais dúvidas.
Semestralmente, a área de Gestão de Pessoas deve informar à Área de Governança, Conformidade
e Riscos todos os empregados admitidos no último período que não tenham participado do plano de
conscientização. Esses funcionários devem assistir à palestra, conforme avaliação da Área de
Governança, Conformidade e Riscos.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 13/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
4.5. Plano de comunicação
O Plano de Comunicação deve atender a todos os empregados da Companhia, observando o grau de
responsabilidade e envolvimento no processo de Gestão de Riscos de cada um.
O Plano de Comunicação deve ser estabelecido para assegurar que:
• Todas as áreas compreendam claramente o papel, os objetivos, as funções e as
responsabilidades da Área de Governança, Conformidade e Riscos, enquanto função de
controle independente dentro da COPERGÁS, bem como seus respectivos deveres e
responsabilidades para o entendimento e cumprimento das políticas definidas, das leis e dos
regulamentos existentes.
• O pessoal chave compreenda seu papel de atuação e suas responsabilidades no processo de
Gestão de Riscos.
• Os planos de ação sejam devidamente implementados, com o intuito de minimizar o risco
dos procedimentos da Companhia não estarem em conformidade com as leis e os
regulamentos (internos e externos), especialmente nos casos em que haja exposição a
multas e/ou sanções de órgãos reguladores.
Alguns exemplos de comunicação podem ser adotados pela COPERGÁS. Abaixo estão descritas
algumas opções:
• Jornal interno/ TVs Internas – divulgação bimestral de notícias sobre o processo Gestão de
Riscos, sobre as atividades desempenhadas, as áreas envolvidas e os principais resultados.
Divulgação permanente de informações relevantes e atualizadas sobre a Área de
Governança, Conformidade e Riscos, tais como usuários-chave, objetivo, missão, função,
áreas de atuação, principais contatos e esclarecimento de dúvidas frequentes (FAQs);
• Correio eletrônico e intranet – divulgação de endereço de correio eletrônico para a
comunicação entre os demais funcionários da COPERGÁS e a Gestão de Riscos.
• Alertas de pop-ups nos computadores da Companhia – disseminação de tópicos relevantes
acerca da Gestão de Riscos, além da possibilidade de lançamento de pesquisas,
esclarecimento de dúvidas frequentes (FAQs) e/ou lançamento de quiz sobre fatos
importantes (highlights), curiosidades, resultados e tendências sobre a gestão de riscos.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 14/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5. CONTEÚDO ESPECÍFICO
5.1. Missão e visão da gestão de riscos
5.1.1. MISSÃO DA GESTÃO DE RISCOS DA COPERGÁS
Amparar o desenvolvimento sustentável da Companhia frente, a partir da aplicação de metodologia
estruturada para o gerenciamento de riscos corporativos, favorecendo maior assertividade do
processo decisório da Alta Administração e internalizando a cultura de gestão de riscos por meio de
uma linguagem comum.
5.1.2. VISÃO DA GESTÃO DE RISCOS DA COPERGÁS
Garantir a implantação efetiva do processo de gestão de riscos e a consolidação do tema em todos
os colaboradores da Companhia até 2020.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 15/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.2. Estrutura organizacional
A distribuição de responsabilidades no processo de gestão de riscos deve contemplar agentes nas
três linhas de defesa, conforme modelo sugerido pelo IIA – Instituto dos Auditores Internos, a
saber:
Figura 1 Linhas de Defesa do Risco
Fonte: Adaptação da Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles. IIA (2013)
A seguir, apresentamos a estrutura de governança corporativa para a Gestão de Riscos proposta e
seus respectivos níveis hierárquicos:
Figura 2 Estrutura organizacional da Gestão de Riscos
Fonte: Elaborado por Deloitte©
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 16/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.3. Competências e responsabilidades
A Gestão de Riscos na COPERGÁS é realizada através de uma estrutura coordenada pelo Comitê de
Auditoria Estatutário, com o envolvimento ativo de dois atores principais: Área de Governança,
Conformidade e Riscos e gestores das áreas de negócio, conforme descrição a seguir:
Comitê de Auditoria Estatutário: atividades de aprovação visando assegurar o equilíbrio, a
transparência e a integridade das informações, diante do cumprimento das suas principais
atribuições, a saber:
I - Aprovar a metodologia e os documentos chave (exemplos: Política de Gestão de Riscos,
Manual de Gestão de Riscos, ISO 31000 etc.) a serem utilizados para a condução do processo
de Gestão de Riscos junto ao Comitê de auditoria estatutário e ricos e o Conselho
Administrativo;
II - Incentivar o cumprimento da Política de Gestão de Riscos e o Manual de Gestão de Riscos;
III - Analisar o apetite ao risco e submete-lo para aprovação do Conselho de Administração.
IV - Submeter periodicamente ao Conselho de Administração relatório sobre os resultados do
monitoramento dos riscos inerentes às atividades da Companhia e que possam afetar o
atendimento aos seus objetivos;
V - Acompanhar de forma sistemática os Indicadores de Riscos, com o objetivo de garantir
sua eficácia; e
VI - Avaliar a efetividade do processo de gestão de riscos, principalmente no tocante à
definição, revisão e monitoramento dos riscos priorizados.
Área de Governança, Conformidade e Riscos: atividades de planejamento e gestão de riscos
corporativos da Companhia, visando garantir a execução da política de riscos aprovada,
através da aceitação ou redução dos riscos estratégicos, financeiros, operacionais e legais.
Monitoramento do ambiente de controles internos e acompanhamento do nível de
implementação das melhorias visando manter os riscos no nível definido pela Alta
Administração. A Área de Governança, Conformidade e Riscos é responsável pelas seguintes
atividades na COPERGÁS:
I - Realizar estudos e análise qualitativa e quantitativa de riscos estratégicos, financeiros,
operacionais e legais;
II - Propor e revisar metodologia de avaliação, apetite, tolerância e gestão de riscos
corporativos;
III - Planejar os processos e riscos a serem mapeados na ótica de identificação e
aperfeiçoamento da estrutura de controles;
IV - Identificar e monitorar riscos, avaliando vulnerabilidade e impacto da ocorrência,
propondo medidas para controle e priorização dos riscos;
V - Acompanhar a implementação dos planos de ação estabelecidos provenientes dos
trabalhos de auditoria interna e gestão de riscos;
VI - Realizar articulação e dar suporte às demais áreas da empresa, auxiliando na definição
dos responsáveis primários dos riscos na sua gestão de riscos;
VII - Assessorar os responsáveis primários dos riscos quanto à exposição e tolerância ao risco,
bem como à definição e execução de ações mitigatórias de controles internos e respostas aos
eventos;
VIII - Revisar relatório de análise de riscos contendo classificação, plano de resposta e
estratégias de monitoramento;
IX - Disseminar linguagem comum de riscos na Companhia visando uniformização e
padronização dos conceitos;
X - Disseminar cultura de controles internos com base em modelos reconhecidos
internacionalmente (ex.: COSO®);
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 17/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
XI - Conduzir processos de autoavaliação de controles;
XII - Manter uma base de dados de riscos e controles internos relacionados aos processos de
negócio da Companhia no SGI (Sistema de Gestão Integrada);
XIII - Realizar reportes à Alta Administração e Comitê de Auditoria Estatutário quanto ao
cenário de riscos da Companhia;
XIV - Apontar ao Comitê de Auditoria Estatutário ou Comitê de Ética a ocorrência de não
conformidades, falhas, desvios, irregularidades e/ou ilegalidades observadas;
XV - Realizar a gestão do ambiente de controles internos, de acordo com políticas,
certificações legais, regulatórias e demais diretrizes para mitigar o risco;
XVI - Orientar e desenhar controles internos junto às áreas da Companhia, alinhados ao
processo de avaliação dos riscos para implementação e priorização das ações mitigatórias;
XVII - Dar suporte no monitoramento e avaliação dos controles internos dos processos de
negócio (financeiros, corporativos, tecnológicos, operacionais, etc) para tomada de decisão e
a fim de garantir a conformidade das práticas de gestão de riscos;
XVIII - Assegurar e acompanhar revisão e atualização periódica dos controles internos
implementados;
XIX - Assessorar a auditoria interna e externa no levantamento de informações e
documentações solicitados para fins de auditoria;
XX - Define e propõe metodologias para avaliação e acompanhamento dos riscos de
Compliance;
XXI - Consolida os riscos de Compliance e ações mitigantes;
XXII - Realiza ações de promoção da cultura interna de Compliance;
XXIII - Coordena as melhorias de processos para mitigar os riscos de Compliance; e
XXIV - Monitora os riscos de Compliance.
É permitido à Área de Governança, Conformidade e Riscos o acesso a todas as áreas de negócio que
compõem a COPERGÁS e a seus respectivos dados e informações. Entretanto, não está investida de
autoridade executiva sobre nenhuma das áreas.
Gestores das áreas de negócio (responsáveis primários ou donos dos riscos – risk owners):
responsáveis primários pela Gestão de Riscos, os gestores das diversas áreas de negócio da
COPERGÁS atuam ativamente neste processo, através das seguintes ações:
I - Ter conhecimento prévio e efetuar o monitoramento dos riscos e controles, direta ou
indiretamente, envolvidos nas operações sob sua gestão;
II - Identificar as áreas, causas e consequências associadas aos riscos;
III - Assumir os riscos dentro dos limites de tolerância definidos pelo Comitê de Auditoria
Estatutário;
IV - Definir as ações mitigatórias em conjunto com a Área de Governança, Conformidade e
Riscos;
V - Buscar os recursos necessários para mitigar os riscos;
VI - Participar da avaliação do apetite e limite de tolerância dos riscos;
VII - Executar suas atividades e decisões em linha com as premissas desta política ou outras
diretrizes da COPERGÁS, de forma a minimizar a exposição da Companhia a riscos;
VIII - Reportar periodicamente à Área de Governança, Conformidade e Riscos ou ao Comitê de
Auditoria Estatutário dos eventos relevantes, que afetem o grau de exposição da COPERGÁS a
riscos; e
IX - Assegurar a implantação dos planos de resposta e monitoramento dos riscos envolvidos
nas operações sob sua gestão, de acordo com as deliberações tomadas em conjunto com a
Área de Governança, Conformidade e Riscos, Comitê de Auditoria Estatutário ou Alta
Administração.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 18/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
O Anexo I – Matriz de papéis e responsabilidades do presente Manual contém a relação das
principais atividades do processo de Gestão de Riscos e os respectivos papéis e responsabilidades
dos principais atores do processo, a saber: Área de Governança, Conformidade e Riscos, Gestores
de Negócio, Comitê de Auditoria Estatutário, Diretoria Executiva e Conselho de Administração.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 19/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.4. Processo de gestão integrada de riscos
O processo de gestão integrada de riscos foi desenvolvido conforme apresentado a seguir:
Figura 3 Processo de gestão integrada de riscos
Fonte: Elaborado por Deloitte©.
Abaixo segue breve descrição dos nove princípios fundamentais da gestão integrada de riscos:
• Definição e entendimento dos riscos: linguagem comum de riscos, que direciona tanto a
criação como a preservação de valor à empresa, e que seja consistente em todas as
Unidades de Negócio.
• Utilização de padrões e metodologias: metodologia de gestão de riscos suportada por
um padrão reconhecido (ex.: COSO® ERM, ISO 31000) para identificação, resposta e
gerenciamento dos riscos.
• Papéis e responsabilidade: papéis, responsabilidades e limites de alçada claramente
definidos e alinhados à estrutura de profissionais da empresa.
• Envolvimento da Alta Administração: órgãos de gestão (ex.: Conselho de
Administração, Comitê de Auditoria e Riscos) atuando com transparência e diligência nas
práticas de gestão de riscos.
• Responsabilidades da Alta Administração: grupo executivo responsável pelo desenho,
implantação e manutenção de um programa estruturado de gestão de riscos.
• Infraestrutura para gestão de riscos: infraestrutura única de riscos para orientar e
suportar todas as unidades e áreas de negócio em suas responsabilidades relacionadas a
riscos.
• Avaliação periódica do processo: unidades de negócio diretamente responsáveis pelo
desempenho de suas estruturas, gerenciamento dos riscos associados a elas e
comunicação/reporte à Administração.
• Responsabilidades das áreas de negócio: outras áreas asseguram, monitoram e
reportam a efetividade do processo de gestão de riscos da empresa aos órgãos de gestão.
• Suporte de funções pervasivas: determinadas áreas possuem um impacto pervasivo na
empresa (ex.: TI) e, além de prover suporte às unidades de negócio em relação ao
programa de gestão de riscos, potencializam o sucesso do gerenciamento quando
estrategicamente alinhados aos elementos do programa de riscos.
O processo de gerenciamento de riscos da COPERGÁS considera os seguintes componentes:
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 20/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 4 Componentes do processo de gestão de riscos
Fonte: Elaborado por Deloitte©.
5.4.1. ETAPA DE IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS
5.4.1.1 Análise Geral de Riscos (AGR)
A AGR reflete, de maneira estruturada, as percepções dos executivos em relação aos principais
aspectos de gestão e riscos envolvidos nas operações, áreas/processos de negócio e características
da Companhia.
As origens internas ou externas, relacionadas às estratégias e aos objetivos de negócio da
Companhia são mapeadas e monitoradas para assegurar que quaisquer materializações que venham
a ocorrer sejam conhecidas e geridas em um nível aceitável.
A AGR deverá ser atualizada periodicamente (a cada 2 anos, no máximo), a fim de identificar
possíveis alterações no ambiente de negócios que possam afetar o atendimento aos objetivos de
negócio. Quaisquer mudanças identificadas devem ser registradas no documento de análise de
riscos corporativos da Companhia, conforme metodologia detalhada no tópico seguinte.
A análise Geral dos Riscos corporativos é composta pelos seguintes componentes:
5.4.1.2 Dicionário de riscos
O Dicionário de Riscos Corporativos classifica e categoriza os riscos em uma linguagem comum,
considerando as características e o ambiente de negócio da empresa.
O Dicionário de Riscos Corporativos da COPERGÁS contempla informações segregadas em quatro
principais temas, quais sejam:
Estratégico
Financeiro
Operacional
Legal
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 21/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Cada tema está segregado em grupos e em cada grupo estão as categorias de riscos pertinentes à
COPERGÁS.
Figura 5 Legenda do dicionário de riscos
Fonte: Elaborado por Deloitte©.
O universo de riscos aplicáveis à COPERGÁS está segmentado da seguinte forma:
Figura 6 Dicionário de riscos
Fonte: Elaborado por Deloitte©.
O detalhamento contendo a definição de cada categoria encontra-se no Anexo II – Dicionário de
riscos.
Cabe a Área de Governança, Conformidade e Riscos atualizar o dicionário de riscos sempre que seja
identificado um novo risco que não possui vínculo à uma categoria existente.
5.4.1.3 Modelo de Classificação de Macroprocesso (MCP)
O MCP é utilizado para categorizar os macroprocessos-chave da Companhia e auxiliá-la na
padronização e priorização dos controles necessários para mitigação dos riscos associados. No caso
da COPERGÁS, a existência da Cadeia de Valor desenhada possibilitou a utilização desse
instrumento como MCP.
As origens de risco identificadas são vinculadas aos macroprocessos existentes na Companhia.
Dessa forma, caso sejam identificados novos processos ou realizadas novas auditorias em
processos, o modelo é atualizado.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 22/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Os macroprocessos da COPERGÁS estão segmentados nas seguintes camadas da Cadeia de Valor:
− Macroprocessos Finalísticos: refletem a atividade fim da Companhia (Core business).
− Macroprocessos de Apoio: suportam diretamente a execução dos macroprocessos
finalísticos, permitindo a gestão adequado dos aspectos mais relevantes e que impactam
diretamente a operação da Companhia.
− Macroprocessos Governança e Estratégia: propiciam a gestão estratégica e governança
corporativa da Companhia.
A seguir apresentamos o MCP da COPERGÁS, reflexo da sua Cadeia de Valor:
Figura 7 Modelo de Classificação de Macroprocessos (MCP)
Fonte: Elaborado por Deloitte©.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 23/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.4.1.4 Identificação de eventos
Para identificar eventos, a Área de Governança, Conformidade e Riscos utilizará os seguintes meios:
Ferramentas de análise de risco;
Entrevistas com a alta administração e com gestores indicados pela Diretoria Executiva;
Utilização de questionários específicos para os principais executivos e gestores indicados;
Avaliação dos resultados de indicadores de riscos monitorados;
Resultados de trabalhos de auditorias, interna e externa;
Resultados de trabalhos de compliance;
Resultados de trabalhos de mapeamento de riscos e controles.
Para execução dessa fase, a Área de Governança, Conformidade e Riscos deve utilizar roteiro
entrevista como ferramenta específica para coleta de informações, considerando as categorias de
risco pertinentes à área do executivo avaliado, além de perguntas aplicáveis à toda a Companhia, a
fim de identificar novas origens, atualizar o status das já existentes, bem como identificar ações que
estão sendo tomadas para mitigação do risco.
Paralelamente, pode ser aplicada a coleta de dados e informações através de questionários com o
propósito de levantamento de atenuantes e agravantes dos riscos junto aos executivos indicados
pela Alta Administração.
Em ambas abordagens (entrevista e questionário), nesta etapa, será capturada a percepção de cada
executivo acerca dos controles (vulnerabilidade – atenuantes e agravantes) e relevância (impacto)
sobre cada risco de negócio.
A Área de Governança, Conformidade e Riscos deve compilar os resultados definidos, consolidando
as origens correlacionadas aos riscos de negócio provenientes das entrevistas e das ferramentas
usadas (questionário), cadastrando as informações na base de documentação e controle dos riscos e
classificando as informações apontadas enquanto atenuante ou agravante para cada categoria de
risco.
5.4.1.5 Mapa de riscos
O mapa de riscos demonstra a exposição de cada risco, ou seja, sua classificação conforme impacto
e vulnerabilidade, considerando a percepção dos executivos da Companhia, com base nas principais
conclusões sobre o grau de severidade (indicador de impacto) e grau de eficácia dos controles
(indicador de vulnerabilidade) em operação na Companhia.
O grau de exposição deverá ser graduado em quatro níveis, definidos com base no impacto e na
vulnerabilidade, utilizando-se da escala a seguir:
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 24/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 8 Mapa de riscos
Fonte: Elaborado por Deloitte©.
O enquadramento da exposição ao risco se refere à extensão à qual a Companhia está exposta ou
desprotegida em relação aos impactos negativos após avaliação dos controles existentes.
5.4.1.6 Critérios para avaliação do nível de exposição do risco
5.4.1.6.1 Avaliação do impacto
Na dimensão de impacto alguns critérios para avaliação qualitativa e quantitativa são postos
como premissas, a saber:
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 25/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 9 Critérios para avaliação do impacto
Fonte: Elaborado por Deloitte©.
O apetite ao risco da Alta Administração foi estabelecido com base em percentuais atrelados à
Receita Operacional Líquida (ROL), conforme coluna “Critérios para avaliação quantitativa” da Figura
8 Critérios para avaliação do impacto. Contudo, o critério e os percentuais podem ser redefinidos
pela Alta Administração e Comitê de Auditoria Estatutário, conforme processo estruturado de
aprovação formal anualmente.
O processo de avaliação de riscos consiste no desenvolvimento das seguintes etapas, que serão
detalhadas em seguida: Figura 10 Processo de avaliação de riscos
Fonte: Elaborado por Deloitte©.
A classificação do impacto (Extremo, Alto, Médio ou Baixo) deve partir da definição do tipo de
análise, ou seja, se o impacto será mensurado de forma quantitativa (aplicável quando da
disponibilidade de dados históricos de materialização do risco ou do valor em risco) ou qualitativa
(aplicável quando da indisponibilidade de histórico de materialização ou precisão do valor em risco).
Nesta última perspectiva, é recomendável usar o “pior cenário” (worst case) e o julgamento
profissional para determinar a avaliação sumária do impacto.
Neste sentido, a metodologia para cálculo do impacto considera os seguintes critérios/qualificadores
e pesos, respectivamente, para fins de ponderação:
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 26/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 11 Metodologia para avaliação de riscos
Fonte: Elaborado por Deloitte©.
Caso a categoria de risco seja avaliada exclusivamente de forma qualitativa, dada a
indisponibilidade de histórico de materialização do risco ou do valor em risco, serão ponderados os
pesos das variáveis destacados na Análise Qualitativa da Figura 11, que totalizam 100%.
Já no caso da categoria de risco que dispuser do histórico de materialização ou valor em risco de
forma aderente e concisa, a análise será quantitativa e o valor financeiro será considerado em sua
totalidade para fins de enquadramento na escala de impacto (Baixo, Médio, Alto e Extremo),
conforme definição do apetite ao risco (Vide Figura 9 Critérios para avaliação do impacto).
5.4.1.6.2 Avaliação da vulnerabilidade
No caso da vulnerabilidade, é utilizado o julgamento profissional para determinar a avaliação
sumária dessa dimensão, considerando aspectos tais como:
Eficácia do controle: A eficácia de capacidades existentes para gestão do risco. Inclui
fatores pessoais, tais como, ambiente ético, pressões para alcançar objetivos, competência,
adequação e integridade dos julgamentos das pessoas e da gerência. Processos incluem
adequação e eficiência dos controles internos e o grau de informações dos sistemas
corporativos;
Resposta à experiência prévia de risco: A ação corretiva eficiente deve ser tomada após
a experiência prévia de risco. A falta de resposta eficaz às experiências prévias de risco
aumenta a vulnerabilidade;
Complexidade ou volatilidade das atividades: O número de fatores e volatilidades
inter-relacionados de aspectos como pessoas, processos, sistemas e unidades de negócios,
incluindo dispersão geográfica de operações. A complexidade elevada aumenta a
vulnerabilidade;
Nível de alteração nos processos (crescimento/contração): Mudanças recentes ou
futuras em pessoas chave, na estrutura organizacional, nos processos, nos sistemas, no
modelo de negócios ou na infraestrutura potencializam a vulnerabilidade;
Condições externas: Volatilidade de condições competitivas, financeiras e econômicas.
Alta volatilidade aumenta a vulnerabilidade.
A análise da vulnerabilidade, relativa ao nível de exposição ao risco, considerando a percepção dos
executivos, o histórico de ocorrência, grau de implementação dos planos de ação, a atual estrutura
de controles da COPERGÁS e o julgamento profissional, embasam a classificação dos riscos na
dimensão da vulnerabilidade conforme a seguinte escala:
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 27/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 22 Critérios para avaliação da vulnerabilidade
Fonte: Elaborado por Deloitte©.
Neste sentido, é atribuída a classificação da vulnerabilidade (Extrema, Alta, Média ou Baixa), com
base no grau de confiança combinada para todos os controles associados ao risco, utilizando as
definições da Figura 12.
5.4.1.7 Critérios para avaliação de riscos nos processos
O processo de avaliação de riscos nos processos consiste no desenvolvimento das seguintes
etapas, que serão detalhadas em seguida:
Figura 13 Processo de avaliação de riscos nos processos
Fonte: Elaborado por Deloitte©.
Para a priorização dos processos, utilizamos os seguintes critérios/qualificadores:
Figura 143 Metodologia para avaliação de riscos nos processos
Fonte: Elaborado por Deloitte©.
Caso o processo seja avaliado de forma exclusivamente qualitativa, quando da indisponibilidade
de dados quantitativos, serão ponderados apenas os pesos de “Avaliação dos riscos no processo” e
“Complexidade do processo”, que totalizam 100%.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 28/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Caso o processo seja avaliado de forma qualitativa e quantitativa, serão ponderados os pesos
conforme figura 14, relativo aos respectivos critérios, que totalizam 100% e incorpora o critério do
Valor (R$) financeiro envolvido.
Abaixo segue breve descrição do que representa cada critério:
Avaliação dos riscos do processo: grau de risco do processo, considerando o
entendimento dos executivos entrevistados e respondentes dos questionários, refletida na
análise geral de riscos (AGR).
Valor financeiro envolvido: volume financeiro envolvido para quantificação do processo.
Complexidade do processo: nível de esforço organizacional/controle para execução e
gestão do processo analisado, considerando:
− Sistemas envolvidos;
− Áreas envolvidas.
Pode-se ainda no futuro utilizar um quarto critério: Plano de Ação, que se refere à quantidade de
recomendações implementadas e não implementadas, referente aos resultados dos ciclos de
auditoria interna ou de outros projetos de revisão de processos ou controles internos que geraram
recomendações para fortalecimento das linhas de defesa da Companhia.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 29/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.4.2. ETAPA DE RESPOSTA E MENSURAÇÃO DE RISCOS (TRATAMENTO DE RISCOS)
5.4.2.1 Definir o agente de Gestão de Riscos (colaboradores chave)
Para a definição de indicadores de riscos, a Área de Governança, Conformidade e Riscos, em
conjunto com a Diretoria (“Process Owner”) envolvida nos principais processos afetados pelo risco,
devem definir os agentes de Gestão de Riscos (“Risk Owner”).
Os indicadores de risco são definidos para cada risco, no âmbito das áreas envolvidas e,
periodicamente, acompanhados pelos agentes supracitados.
Os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos, são responsáveis por
definir ações para mitigação dos riscos.
5.4.2.2 Definir resposta aos riscos
O objetivo dessa etapa é definir planos de ação com base na avaliação dos controles utilizados para
gerenciamento do risco, priorizando os planos relacionados aos riscos mais críticos através da
alocação eficiente dos recursos e cumprimento dos prazos exigidos.
Com base nos resultados da avaliação dos riscos prioritários, o Comitê de Auditoria Estatutário deve
aprovar o tratamento a ser dado ao risco, os quais podem ser: evitar, transferir, reduzir ou aceitar.
Caso a opção seja aceitar o risco, devem ser estabelecidas métricas de monitoramento deste. Caso
o tratamento escolhido para o risco seja reduzir, são definidos planos de ação para mitigar o nível
de exposição.
As atividades que compõem a etapa de resposta ao risco são subdivididas nas seguintes seções:
Definir estratégias para gerenciamento de riscos;
Elaborar os planos de ação;
Priorizar as deficiências encontradas.
5.4.2.3 Definir estratégias para gerenciamento de riscos
A Área de Governança, Conformidade e Riscos deve discutir com o gestor do processo/área a
estratégia para gerenciamento do risco residual (resposta ao risco) levando em consideração o
impacto, a vulnerabilidade, a tolerância da alta administração e o custo-benefício. Atentar para o
fato de que sempre existirá um nível residual de risco, não apenas por causa da limitação de
recursos, mas também por causa das incertezas futuras e limitações inerentes da estrutura de
controle.
Obter a aprovação do Comitê de Auditoria Estatutário a respeito das estratégias para gerenciamento
do risco, acordadas com os gestores dos processos.
Registrar a estratégia definida em conjunto com o gestor do processo no Sistema de Gestão de
Riscos, considerando:
Modificar o nível de exposição por meio de plano de ação, conforme estratégia de resposta
adotada: evitar, transferir, reduzir e/ou aceitar o risco;
Assumir o risco e monitorá-lo dentro do limite de exposição aceitável, com ou sem a
utilização de Indicadores de Risco – KRI.
Produtos Gerados:
Estratégia para gerenciamento de risco.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 30/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.4.2.4 Elaborar os planos de ação
Os responsáveis da Diretoria (“Process Owners”), com o suporte dos agentes de Gestão de Riscos
(“Risk Owners”), devem elaborar planos de ação como resposta ao risco do processo relativo aos
controles que, na etapa de avaliação e teste de controles, foram classificados com grau de confiança
insuficiente.
Os tipos de deficiências resultantes dos testes de controles e da avaliação de controles são:
Deficiências de controle: falhas que podem afetar adversamente a capacidade da
Companhia para iniciar, autorizar, registrar, processar, consolidar e reportar dados
financeiros e não financeiros precisos.
Deficiências significativas/condição reportável: deficiências reportadas ao Comitê de
Auditoria Estatutário em razão da relevância da falha no desenho ou na operação de
controles internos, podendo afetar a capacidade da companhia de iniciar, autorizar,
registrar, processar, consolidar e reportar dados financeiros e não financeiros precisos.
Fraqueza material/condição reportável: o desenho ou a operação de um ou mais
componentes dos controles internos expõe a Companhia à possibilidade de erros monetários
ou fraude de valores materiais em relação às demonstrações financeiras. Os planos de ação
correspondentes devem ter prioridade na implementação.
De acordo com o resultado da avaliação e teste, deve-se dar prioridade ao plano de ação conforme
abaixo:
Baixa: deficiência de controle, podendo o controle não ser efetivo ou não existir;
Média: deficiência significativa, podendo o controle não ser efetivo ou não existir;
Alta: fraqueza material caracterizado por um controle chave não efetivo ou não existente;
Além da priorização, o plano de ação deve conter as seguintes informações:
Recomendação: melhoria a ser implementada;
Data-limite: prazo para implantação da recomendação;
Responsável: indicar o responsável pelo plano de ação;
Área responsável: indicar área responsável pelo plano de ação.
A Área de Governança, Conformidade e Riscos deve validar os aspectos identificados e definir
juntamente ao responsável primário do risco, o responsável e o prazo de implementação do plano
de ação.
Produtos Gerados:
Planos de Ação.
5.4.2.5 Priorizar as deficiências encontradas
Para priorizar as deficiências encontradas, deve-se:
Avaliar os recursos necessários para a implementação das recomendações (ex.: pessoas,
sistemas e orçamento);
Priorizar as recomendações definidas no plano de ação, considerando a relação entre a
relevância da deficiência encontrada e a facilidade de implementação;
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 31/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Elaborar um cronograma para implementação de cada recomendação, considerando:
− Prazos acordados no plano de ação;
− Obtenção dos recursos necessários;
− Impacto nas atividades do processo.
Submeter as deficiências priorizadas para análise dos responsáveis pela estrutura de
controles internos da Companhia para validação. Em seguida, a proposta de priorização
deve ser aprovada pelo Comitê de Auditoria Estatutário e Conselho de Administração.
Produtos Gerados:
Priorização das deficiências identificadas.
5.4.2.6 Mensurar e priorizar os riscos a serem monitorados
Para mensurar riscos é necessário realizar a priorização dos principais riscos existentes nos
processos, visando, não apenas a alocação dos recursos de forma mais eficiente, como também
demonstrar os benefícios do processo de monitoramento contínuo para a Companhia.
Caso exista um grande número de riscos identificados, é recomendável priorizar aqueles para os
quais serão desenvolvidos indicadores a partir da avaliação do seu impacto e vulnerabilidade de
ocorrência.
De maneira geral, a prática demonstra que começar pelos 10 riscos mais relevantes
(extremo/alto impacto e extrema/alta vulnerabilidade) possibilita desenvolver um conjunto de
indicadores que sejam ao mesmo tempo abrangentes o suficiente para permitir o acompanhamento
dos principais fatores impactantes e específicos o suficiente para possibilitar o seu efetivo
gerenciamento.
Como ponto de partida natural para esse processo, deve-se realizar análise das informações já
existentes sobre os riscos identificados em trabalhos conduzidos pelas áreas de Auditoria interna,
Gestão de Riscos e pelos órgãos reguladores, entre outros.
5.4.2.7 Definir indicadores de riscos (Key Risk Indicator – KRI)
5.4.2.7.1. Definição de KRI e níveis de tolerância
Os indicadores de risco (KRIs) são utilizados para monitorar o grau de exposição do risco.
Não existe um número máximo ou mínimo pré-definido de KRIs e cada risco pode ter um ou mais
indicadores. O KRI deve ser relevante e sensível ao risco que ele está monitorando, ou seja, capaz
de capturar possíveis problemas que estejam ocorrendo, caso seu valor atinja um determinado
limite. Ele deve ser uma medida objetiva, eficiente e preferencialmente quantitativa.
Os níveis de tolerância podem ser:
• Máximo: requer ações que mitiguem o nível de risco;
• Preocupante: indica uma tendência do nível de risco em atingir um nível de tolerância
máxima, alertando o gestor a tomar ações de mitigação do risco;
• Aceitável: indica níveis aceitáveis de risco sem requerimento de ações específicas de
mitigação de risco.
Os indicadores de riscos são associados às áreas responsáveis, de acordo com as especificidades
analisadas, para que ações preventivas ou corretivas possam ser tomadas caso seu resultado
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 32/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
sinalize que o risco se materializou, esteja em vias da ocorrência do evento de risco ou tenha
ultrapassado o limite de tolerância a risco.
Produtos Gerados:
KRIs definidos;
Lista dos riscos que serão monitorados por KRIs.
5.4.2.7.2. Registro e monitoramento de KRIs
Os indicadores de risco (KRIs) devem ser definidos e monitorados por meio do Sistema de Gestão
de Riscos, contemplando o detalhamento dos indicadores e o associando aos riscos que já estão
monitorados.
Nesta etapa, os seguintes itens devem ser considerados para fins de documentação dos KRIs:
• Indicador: referência do indicador;
• Objetivo: descrição do objetivo do indicador;
• Responsável: responsável primário do risco;
• Processos associados: relação de processos associados ao risco;
• Fórmula: fórmula sugerida para o cálculo do indicador;
• Componentes: descrição dos elementos necessários para o cálculo do indicador conforme
apresentado na fórmula;
• Fonte: sistemas ou documentações bases dos componentes;
• Acompanhamento: periodicidade de cálculo do indicador;
• Status: indicação quanto ao status de implementação do indicador, conforme segue: KRI
não implementado ou KRI implementado;
• Limite de tolerância: valores a partir dos quais são justificadas análises sobre as razões
das variações apresentadas;
• Entendimento da variação: descrição das possíveis razões que originaram as variações
no indicador;
• Unidade de medida: representa como o indicador será medido, por exemplo, em valor
percentual (%);
• Resultado: descrição do resultado.
5.4.2.7.3. Mapeamento das fontes de dados e coleta de informações
Uma vez definido como os indicadores que serão documentados, o próximo passo para o
desenvolvimento da matriz de indicadores consiste em priorizar, entre as inúmeras informações
disponíveis na Companhia, aquelas que por sua natureza, relevância e disponibilidade poderão ser
fonte de alimentação dos indicadores de risco.
Eventualmente, o mapeamento da localização dos dados nos sistemas de origem exige o envolvendo
do analista de TI, que possui conhecimento técnico mais avançado acerca dos sistemas da
Companhia. O mapeamento da localização dos dados é fundamental para a posterior implementação
do indicador no Sistema de Gestão de Riscos.
A partir do levantamento das informações disponíveis, inicia-se um processo de análise para
determinar quais informações têm uma relação de causa/ efeito nos riscos a serem acompanhados.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 33/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Os dados necessários para cálculo do indicador podem ser obtidos dos sistemas da Companhia de
forma automática ou através de procedimentos alternativos de coleta, a serem definidos e
implementados para cada risco analisado.
É imprescindível a definir a periodicidade e forma de obtenção de dados, sendo preferencial que seja
de forma automatizada (exemplo: geração de query, batches, via arquivos, etc.). Caso os dados
não estejam disponíveis de forma automática, é importante avaliar a melhor forma para registro
manual dos dados (ex. planilhas, arquivos “.txt”, etc.).
5.4.2.7.4. Testes de aderência dos KRIs
O KRI precisa de uma fase de testes para validar seus atributos (principalmente sua fórmula e
periodicidade de cálculo) e, posteriormente, estabelecer limites (níveis de tolerância) que indiquem
a materialização dos riscos, antes de ser colocado em produção.
Neste sentido, faz-se necessário obter os dados para teste do KRI e avaliar se os resultados obtidos
são factíveis, observando:
• Integridade e confiabilidade dos dados, verificando nível de oscilação do resultado no
período analisado e a sensibilidade do indicador ao risco;
• Tempo de processamento do cálculo do indicador, verificando se está adequado ou
está muito acima do esperado;
• Viabilidade de cálculo do indicador, conforme a periodicidade definida.
Após os testes, são procedidos os ajustes necessários no KRI e a análise é repetida até que o
indicador esteja pronto para ser colocado em produção.
A partir dos resultados dos testes, também deve-se definir:
• Limites realísticos para os três níveis de tolerância, de forma que o gestor possua
parâmetros para o monitoramento dos riscos. Os limites não devem ser alterados com
muita frequência, possibilitando o estabelecimento de tendências do KRI;
• Periodicidade e forma de coleta dos dados;
• Ações preventivas ou corretivas que devem ser tomadas, os respectivos responsáveis
e o nível de reporte, quando os KRIs atingirem os limites de cada nível de tolerância;
• A melhor forma de utilizar os resultados dos KRIs, ou seja, se o número deverá ser
comparado a séries históricas existentes ou a um padrão preestabelecido ou se deve oscilar
dentro de um intervalo predefinido;
• Como a análise poderá ser decomposta (exemplos: por produto, área de negócio,
período, funcionário, etc.).
5.4.2.7.5. Mensuração do KRI
O objetivo desta etapa é obter os dados para cálculo dos KRIs.
As atividades que compõe a etapa de mensuração são subdivididas nas seguintes categorias:
Capturar dados automaticamente;
Registrar dados manualmente.
5.4.2.7.5.1. Capturar dados automaticamente
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 34/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Inicialmente, é realizada a verificação e certificação de que todos os dados necessários para efetivar
a carga para cálculo dos KRIs estão disponíveis e, em seguida, executado o procedimento para
captura automática de cada indicador, de acordo com a respectiva periodicidade de coleta.
Após o cálculo automático, é verificado se não ocorreu problemas na captura automática dos dados,
por exemplo, por meio de relatórios de críticas.
5.4.2.7.5.2. Registrar dados manualmente
Após a obtenção dos dados do KRI, deve-se alimentar as planilhas, em Excel, específicas para
inclusão/importação dos dados no Sistema de Gestão de Riscos, de acordo com a periodicidade
específica definida.
Produtos Gerados:
Atualização do sistema com as informações para cálculo dos KRIs.
5.4.2.7.6. Análise de resultados e reporte dos KRIs
Após a implantação em produção e realização do cálculo do indicador, deve-se analisar o resultado
da avaliação de riscos do processo e identificar aqueles que apresentarem grau de exposição
extrema/ alta ou perdas relevantes materializadas. Para cada indicador, devem ser estabelecidos os
seguintes aspectos:
Ações preventivas ou corretivas que devem ser tomadas;
Os respectivos responsáveis e o nível de reporte, quando os indicadores atingirem os limites
de cada nível de tolerância;
Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, período,
colaborador, etc.).
A Área de Governança, Conformidade e Riscos deve definir, junto ao agente de Gestão de Riscos
responsável pelo indicador, a periodicidade com que esse deve ser revisado (pelo menos
anualmente), para que as alterações que se fizerem necessárias nos processos, nos produtos, nos
controles, nos sistemas e nos próprios riscos sejam refletidas.
Periodicamente, os resultados dos indicadores são reportados para a Diretoria, conforme frequência
estabelecida para cada risco e ao Comitê de Auditoria Estatutário e Conselho de Administração, de
acordo com os respectivos calendários de reuniões. O reporte deve ser realizado através de
relatórios que serão utilizados para acompanhamento contendo informações apresentadas de forma
gráfica, com tendência do indicador (de alta, estável, baixa), a evolução histórica do indicador e,
opcionalmente, utilização de mais de uma opção de visualização.
Caso o nível de tolerância definido para o risco seja excedido, devem ser definidos planos de ação
para tratamento do risco, considerando o resultado do indicador reportado pelo agente de Gestão de
Riscos e Área de Governança, Conformidade e Riscos.
Os responsáveis pela elaboração do plano de ação são os agentes de Gestão de Riscos, com o
suporte dos Diretores envolvidos nos processos associados ao risco e da Área de Governança,
Conformidade e Riscos.
Produtos Gerados:
Relatório de monitoramento dos KRIs;
Periodicidade de revisão dos indicadores.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 35/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.4.2.8 Estabelecer níveis tolerância e apetite ao risco
Os níveis de apetite a risco devem ser sugeridos pela Diretoria e agentes de Gestão de Riscos, sendo
apreciados pelo Comitê de Auditoria Estatutário e aprovados pelo Conselho de Administração,
considerando a característica de cada indicador. O nível de tolerância é definido individualmente
para cada risco.
Podem ser utilizadas informações já existentes na Companhia como, por exemplo, a materialidade
ou impacto nos resultados. Com base na definição do apetite ao risco, devem ser aplicados os níveis
de tolerância a cada risco encontrado.
5.4.3. ETAPA DE MONITORAMENTO CONTÍNUO E REPORTE DOS RISCOS
Para que o gerenciamento de riscos seja efetivo, a Área de Governança, Conformidade e Riscos deve
realizar o monitoramento das atividades realizadas para mitigar os riscos.
As atividades que compõem essa etapa são subdivididas nas seguintes seções:
Acompanhar e atualizar o status de implementação dos planos de ação;
Emitir relatório de Gestão de Riscos.
5.4.3.1 Acompanhar e atualizar o status de implementação dos planos de ação
A Área de Governança, Conformidade e Riscos deve definir a periodicidade com que será realizado o
acompanhamento dos planos de ação, contatar o responsável pela implementação e questionar, de
acordo com a prazo estabelecido, sobre o status das atividades.
O status das ações (percentual de implementação) deve ser atualizado no Sistema de Gestão de
Riscos. Deve ser procedida a análise do percentual de implementação dos planos de ação em
relação aos prazos acordados para conclusão. Caso não seja possível implementá-los dentro dos
prazos acordados, deve-se verificar as justificativas pelo não cumprimento e definir, em conjunto
com o responsável uma nova data para conclusão da implantação.
O novo prazo deve ser validado para implementação do plano de ação com o gestor do
processo/área e, em seguida, deve ser registrado no Sistema Gestão de Riscos, adicionando as
justificativas, agrupadas por categorias (em campo comentário), por exemplo:
• Falta de recursos;
• Prazo subestimado;
• Alteração nos sistemas;
• Mudança de estratégia.
Produtos Gerados:
Status do Plano de Ação.
5.4.3.2 Emitir relatório de Gestão de Riscos
As informações pertinentes à Área de Governança, Conformidade e Riscos serão periodicamente
reportadas à Alta Administração e conterão, ao menos:
Mapa de riscos;
Resumo dos riscos prioritários e suas avaliações finais;
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 36/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Resumo das principais deficiências de controle;
Resultados dos indicadores de riscos e perdas materializadas;
Resumo do status dos planos de ação;
Responsáveis pela implementação dos planos de ação.
5.4.3.3 Emitir relatório de Controles Internos
Os relatórios de controles internos da COPERGÁS serão emitidos periodicamente, contemplando o
resultado do monitoramento de cada macroprocesso definido no MCP. As informações a serem
reportadas devem contemplar:
• Mapa de riscos;
• Resumo dos riscos associados aos macroprocessos e suas respectivas avaliações finais;
• Resumo das principais deficiências de controle (deficiências significantes e fraquezas
materiais);
• Histórico de perdas associadas a cada risco;
• Resumo dos planos de ação.
Esses relatórios serão submetidos a revisão do Comitê de Auditoria Estatutário da COPERGÁS.
Produtos Gerados:
Monitoramento de atividades pendentes;
Relatórios pontuais com eventos de risco relevantes.
5.4.3.4 Emitir outros relatórios de acompanhamento dos gestores
Relatórios específicos e pontuais devem ser estruturados e enviados tempestivamente aos gestores
e Comitê de Auditoria Estatutário, com objetivo de acompanhar o andamento das atividades de auto
avaliação, testes e status de implementação, bem como a ocorrência de eventos de risco relevantes.
Para tal, é deve ser definida uma escala de reporte conforme período em que determinadas
atividades estão em atraso. Por exemplo:
• 30 dias após o vencimento do prazo: reiteração ao destinatário original;
• 45 dias após o vencimento do prazo: reiteração ao destinatário original, com cópia para
o superior;
• 60 dias após o vencimento do prazo: reiteração ao superior, com cópia aos destinatários
anteriormente cobrados;
• 75 dias após o vencimento do prazo: cobrança direta à Diretoria Executiva da área
envolvida;
• 90 dias após o vencimento do prazo: comunicação ao Comitê de Auditoria Estatutário da
COPERGÁS.
Produtos Gerados:
Monitoramento de atividades pendentes;
Relatórios pontuais com eventos de risco relevantes.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 37/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 16 COSO® ERM – Internal Environment
5.5. Metodologias
5.5.1. COSO® ERM
A estrutura do COSO® ERM define que a
implementação de uma estrutura de controles
internos deve contemplar oito componentes
inter-relacionados, considerando todas
unidades, processos, subprocessos e
atividades da Companhia.
Esses oito componentes direcionam a forma
como a Companhia pode elaborar o desenho,
a implementação e a manutenção de sua
estrutura de controles internos, contemplando
quatro objetivos principais, a saber:
Agregar valor aos acionistas através
de objetivos ESTRATÉGICOS
alinhados à missão/ visão da
Companhia;
Promover a eficácia e eficiência
OPERACIONAIS;
Assegurar a confiabilidade dos
RELATÓRIOS FINANCEIROS;
Manter CONFORMIDADE com as leis e
regulamentações vigentes.
A figura 15 representa ilustração da estrutura
do COSO® ERM com seus oito componentes
associados aos objetivos (Estratégicos,
Operacionais, Relatórios Financeiros e
Conformidade) e às unidades/divisões da
Companhia:
Fonte: COSO© ERM.
Apresentamos, a seguir, um detalhamento dos
principais aspectos relacionados a cada um
dos componentes do COSO:
5.5.1.1 Ambiente de Controles
Fonte: COSO© ERM.
A visão da Companhia determina a cultura de
seus colaboradores no tratamento de aspectos
relacionados à sua estrutura de controles
internos, influenciando a manutenção de uma
estrutura eficiente e alinhada com os objetivos
e riscos desta.
O comprometimento e a participação do
Conselho de Administração são fundamentais
para o sucesso da gestão de risco.
O ambiente de controles é a base para todos
os outros componentes da estrutura de
controles, estabelecendo o desenho, o
gerenciamento, o monitoramento e a
disciplina dos colaboradores, em relação à
estrutura de controles internos.
Os fatores relacionados à definição do
ambiente de controles/negócios contemplam:
Filosofia de Gestão de Riscos:
disseminação da filosofia da gestão de riscos
de maneira clara e para todos os empregados
da Companhia. É importante que a Alta
Administração demonstre continuamente a
preocupação com o gerenciamento de riscos.
Apetite ao risco: exposição ao risco que a
Companhia está disposta a aceitar para atingir
suas metas, objetivos e geração de valor,
Figura 15 COSO® ERM – International Integrated Framework
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 38/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 47 COSO® ERM – Objective Setting
estando diretamente relacionada com a sua
estratégia.
Cultura sobre riscos: práticas, valores e
atitudes que caracterizam a forma como a
Companhia aborda os riscos em suas
atividades diárias.
Integridade e valores éticos: Alta
Administração da Companhia atua como
modelo de ética para seus colaboradores,
clientes, fornecedores, investidores e público
em geral, além do estabelecimento de
políticas e códigos de ética, de maneira a
formalizar e comunicar esses valores éticos
aos empregados.
Comprometimento com a competência:
definição formal das atribuições e
responsabilidades dos empregados
devidamente associadas à descrição dos
conhecimentos e habilidades necessários para
execução das atividades da Companhia.
Conselho de Administração e Comitê de
Auditoria Estatutário: Conselho de
Administração e Comitê de Auditoria
Estatutário independentes, atuando de forma
integrada com os auditores internos e
externos, a fim de possibilitar avaliações e
julgamentos imparciais sobre as questões
mais significativas da Companhia.
Filosofia e estilo de gestão: perfil da Alta
Administração perante os riscos, os princípios
contábeis adotados e as decisões operacionais
na Companhia.
Estrutura organizacional: adequação da
estrutura às operações da Companhia,
garantindo inclusive o bom fluxo de
informações e a atuação dos elementos de
monitoramento da estrutura de controles.
Autoridade e responsabilidade: definição
dos limites de autoridade, considerando a
adequação dos aspectos de responsabilidade
em relação à autoridade dos empregados.
Políticas e Procedimentos de recursos
humanos: práticas que indiretamente
direcionam os empregados quanto aos níveis
esperados de seu comportamento,
considerando os aspectos de integridade, ética
e competência. Essas práticas abrangem as
políticas e os procedimentos de contratação,
treinamento, avaliação de desempenho,
promoção e remuneração dos colaboradores.
O ambiente de controle deficiente pode
incapacitar toda a estrutura de controles
internos da Companhia, pois mesmo que os
demais componentes da estrutura tenham
sido, conceitualmente, bem implementados,
somente uma cultura organizacional focada
nos aspectos de controle irá determinar a
utilização eficiente dessa estrutura.
5.5.1.2 Definição dos Objetivos
Fonte: COSO© ERM.
As organizações, em todos os seus níveis,
enfrentam riscos internos e externos que
ameaçam a capacidade de competição, a
saúde financeira, a imagem e a manutenção
da qualidade de seus produtos, serviços e
empregados.
O estabelecimento de objetivos internamente
consistentes e em linha com os diferentes
níveis da Companhia é fundamental para a
efetiva identificação de eventos, a avaliação e
o posicionamento com relação aos riscos.
Os objetivos são definidos pela Alta
Administração em linha com a missão, a visão
e o apetite ao risco da Companhia, o qual
direciona o nível de tolerância a eles em suas
atividades.
A gestão de riscos deve assegurar que os
gerentes possuam um processo para definir e
alinhar os seus objetivos em consonância com
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 39/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 18 COSO® ERM – Event Identification
Figura 19 COSO® ERM – Risk Assessment
a missão/visão da Companhia e que esteja
respeitando a exposição/apetite a risco.
Os objetivos da Companhia podem ser
classificados em quatro categorias, conforme
segue:
Estratégico: principais metas e alinhado à
missão/ visão da Companhia. Os objetivos
estratégicos refletem a escolha da
administração em como a Companhia
trabalhará para criar valor aos seus
acionistas.
Operacional: eficiência e efetividade das
operações da Companhia, incluindo metas de
desempenho e de rentabilidade. A estrutura
dos objetivos operacionais varia em virtude
das escolhas da administração.
Reporte de Informações: efetividade da
Companhia em reportar informações interna
ou externamente, sejam elas, financeiras ou
não financeiras, considerando a política da
transparência para com o mercado e
acionistas.
Compliance (Conformidade): aderência da
Companhia às leis e regulamentações
aplicáveis à sua operação. Os objetivos
dependem de fatores externos e tendem a ser
similares em organizações que atuam no
mesmo ramo.
5.5.1.3 Identificação de Eventos
Fonte: COSO© ERM.
A Alta Administração deve identificar
potenciais eventos que possam afetar a
habilidade da Companhia em implementar
suas estratégias e atingir seus objetivos com
sucesso.
Nessa identificação devem ser considerados os
fatores externos (econômicos, de negócio,
ambientais, políticos, sociais e tecnológicos) e
internos (infraestrutura, funcionários,
processos e tecnologia).
A metodologia para identificação de eventos
(passados e prováveis) adotada pela
Companhia deve contemplar uma combinação
de técnicas e ferramentas de suporte.
Como exemplo de eventos passados temos:
• Mudanças nos preços das commodities;
• Histórico de oscilações cambiais que
impactam no negócio;
• Perda de tempo com imprevistos.
Como exemplo de prováveis eventos futuros
temos:
• Mudanças demográficas;
• Novos mercados;
• Ações dos concorrentes.
Os eventos devem ser agrupados em
categorias (horizontalmente na Companhia e
verticalmente nas unidades operacionais)
permitindo à Alta Administração desenvolver
uma melhor compreensão do inter-
relacionamento entre os diferentes eventos e
possibilitando a coleta de informações mais
completas e precisas que serão utilizadas
como base para avaliação de riscos.
5.5.1.4 Avaliação de Riscos
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 40/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 20 COSO® ERM – Risk Response
Fonte: COSO© ERM. Identificação e análise dos riscos relevantes
que comprometam o atendimento dos
objetivos da Companhia, formando uma base
para determinar como os riscos devem ser
gerenciados.
A Alta Administração deve avaliar os eventos
pelo seu impacto e probabilidade de
ocorrência e utilizar metodologias de
mensuração quantitativa e qualitativa.
O processo de análise geral de riscos é
dinâmico, interativo e frequentemente
integrado ao processo de planejamento
estratégico da Companhia, e sua elaboração
deve considerar os seguintes aspectos:
Identificação dos Riscos: mapeamento dos
riscos inerentes, nos níveis estratégicos e
operacionais, através da identificação da
exposição da Companhia aos fatores de riscos
internos e externos.
Análise de Riscos: estimativa dos impactos
dos riscos e probabilidade de sua ocorrência
na Companhia, além de avaliações quanto a
forma de gerenciamento dos riscos, ações
necessárias para sua redução e respectivo
custo dessas ações. Esta análise deve
contemplar a avaliação dos riscos residuais e
inerentes às atividades.
Gestão de Mudanças: alterações na
estrutura interna, na indústria, no cenário
econômico ou em outros elementos externos
podem alterar a exposição da Companhia aos
riscos; assim, essas mudanças devem ser
continuamente monitoradas para que seus
impactos sejam identificados e endereçados
dentro da análise de riscos da Companhia.
A eliminação total dos riscos é, na prática,
impossível, pois a própria existência da
Companhia é um fator gerador de riscos.
Nesse contexto, a análise geral de riscos
fornece um mapa dos riscos da Companhia,
proporcionando um mecanismo para
priorização destes e, consequentemente, uma
ferramenta de direcionamento dos esforços
para minimizar os riscos mais significativos
através de uma estrutura de controles
internos alinhada aos riscos da Companhia.
5.5.1.5 Resposta ao Risco
Fonte: COSO© ERM.
A
Alta Administração determina seu
posicionamento (resposta) com relação ao
risco, considerando seus efeitos (impacto e
probabilidade do evento), nível de tolerância e
custo-benefício.
Existem quatro categorias de resposta aos
riscos:
Evitar: ações para evitar atividades que
aumentem a probabilidade de ocorrência do
risco.
Reduzir: ações tomadas para minimizar a
probabilidade e/ou o impacto do risco.
Compartilhar/Transferir: atividades que
visam reduzir o impacto e/ou a probabilidade
de ocorrência do risco através da transferência
ou, em alguns casos, do compartilhamento de
uma parte do risco.
Aceitar: nenhuma ação é tomada que afete o
impacto e/ou a probabilidade de ocorrência do
risco.
Como parte do gerenciamento do risco, a
Companhia terá uma resposta específica para
cada risco significante, devendo reavaliá-lo
com base em sua classificação residual.
A Alta Administração deve buscar uma
sinergia com os gerentes responsáveis pelos
departamentos, funções e unidades de
negócios, orientando-os a avaliar os riscos e
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 41/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 21 COSO® ERM – Control Activities
mostrando as suas atribuições e
responsabilidades no gerenciamento dos
riscos.
A Alta Administração deve reconhecer que
sempre existirá um nível residual de risco, não
apenas por causa da limitação de recursos,
mas também por causa das incertezas futuras
e limitações inerentes a todas as atividades.
5.5.1.6 Atividades de Controle
Fonte: COSO© ERM.
Políticas e procedimentos elaborados para
assegurar que as diretrizes e os objetivos
definidos pela Companhia, para minimizar
seus riscos, estão sendo observados nas
atividades executadas pelos empregados.
As atividades de controle ocorrem em todos os
níveis da Companhia e abrangem atividades
como aprovações, autorizações, verificações,
reconciliações, revisões de desempenho
operacional, segurança de ativos e segregação
de funções.
Os principais tipos de atividades de controle
são:
Revisões Estratégicas: incluem análise
comparativa dos resultados realizados com
orçamentos, previsões, dados históricos e
concorrência;
Revisões Operacionais: análise de relatórios
verificando consolidações realizadas,
tendências, conformidade de relatórios para
órgãos reguladores, etc.;
Processamento de Informações: controles
que asseguram os dados dos sistemas
aplicados quanto à exatidão, integridade,
totalidade e autorização das transações
realizadas;
Controles Físicos: contagens periódicas e
comparações com os registros de controle de
inventários, ativos fixos, valores em espécie e
outros ativos;
Indicadores de Desempenho: dados para
direcionar ações operacionais e estratégicas
utilizados na identificação de falhas de
processos e controles;
Segregação de Funções: divisão ou
segregação das atividades entre diferentes
colaboradores criando pontos de checagem e
evitando a propagação de erros no processo.
Apesar da grande variedade de formas de
atividades de controle, todas são baseadas em
dois elementos principais:
Políticas: estabelecem quais ações devem ser
executadas; e
Procedimentos: apresentam como são
executadas essas ações. As políticas e,
principalmente, os procedimentos, devem ser
reavaliados sempre que ocorram mudanças
significativas na estrutura da Companhia, em
seus processos, sistemas, modelo de negócio
e ambiente regulatório.
O desenho das atividades de controle deve
refletir a priorização dos riscos e sua eficácia
avaliada continuamente, através de ações de
monitoramento, para garantir que os riscos
estão sendo efetivamente minimizados.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 42/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 5 COSO® ERM – Information & Communication
2222
5.5.1.7 Informação e Comunicação
Fonte: COSO© ERM.
São as práticas utilizadas pela Companhia
para capturar e comunicar as informações
pertinentes, em formato e prazo que
possibilitem a execução das responsabilidades
dos colaboradores.
Informação é necessária em todos os níveis da
Companhia para a execução das atividades e o
atendimento aos objetivos do negócio. Os
sistemas de informação capturam, processam
e reportam a informação, considerando
atividades e eventos internos e externos à
empresa, os quais são necessários aos
processos operacionais, bem como para
tomada de decisão e emissão de relatórios
externos.
Dessa forma, as práticas de controle sobre os
sistemas de informação devem garantir os
seguintes aspectos:
Relevância: o conteúdo da informação é
apropriado e relevante ao pessoal que a
utiliza.
Disponibilidade e Acesso: a informação
está disponível quando necessária e somente
é acessada por pessoal autorizado.
Exatidão: a informação é a mais atual e
correta possível.
A comunicação eficiente também deve fluir em
todos os níveis e em todos os sentidos na
Companhia. Dessa forma, os meios de
comunicação devem estar disponíveis a todos
os colaboradores da empresa, e os canais com
clientes, fornecedores e outros agentes
externos devem ser abertos e eficientes.
Os principais aspectos que devem ser
implementados para garantir a comunicação
eficiente são:
Mecanismos de Divulgação: meios de
disponibilização de informações. As principais
informações que podem ser divulgadas
através desses meios são, entre outras, visão,
missão, políticas, procedimentos,
responsabilidades dos colaboradores,
estrutura organizacional, plano de benefícios,
recrutamento interno e externo e níveis de
alçada.
Ferramentas de Sugestões: mecanismos
para os colaboradores comunicarem suas
ideias para o aprimoramento dos processos
internos e outras informações relevantes.
Canais de Comunicação Externos: meios
de divulgação de informações de interesse
geral ao público, agentes reguladores,
acionistas, etc. Esse aspecto engloba também
os mecanismos de informação com clientes e
fornecedores, como call centers e mecanismos
de B2B e B2C.
Os aspectos de informação e comunicação
dentro da estrutura de controle da Companhia
são a base para que os colaboradores
entendam seu papel dentro dessa estrutura de
controle e tenham disponíveis as informações
necessárias e assertivas para a execução de
suas atividades.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 43/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Figura 23 COSO® ERM – Monitoring
5.5.1.8 Monitoramento
Fonte: COSO© ERM.
A estrutura de controles internos sofre
mudanças e evolui com o tempo. Assim, um
controle eficaz em um cenário passado pode
se tornar menos eficaz ou até obsoleto
dependendo das mudanças ocorridas na
Companhia, em sua indústria de atuação ou
no ambiente externo.
Dessa forma, a estrutura de controles internos
deve ser monitorada para avaliar a qualidade
e a atualização dos controles no tempo. Esse
objetivo é atingido com atividades recorrentes
de monitoramento ou procedimentos de
avaliações independentes periódicas, ou,
ainda, uma combinação desses dois
mecanismos.
A frequência dos procedimentos de avaliação
independentes depende de uma análise dos
riscos aplicáveis aos processos, bem como da
eficiência das atividades recorrentes de
monitoramento. Em ambos os casos, as
deficiências dos controles internos devem ser
reportadas tempestivamente à Gerência e,
dependendo do impacto dessas deficiências, à
Alta Administração.
As principais atividades de monitoramento
incluem:
Conciliações: as comparações entre os
valores registrados nos relatórios das áreas
operacionais e os valores apresentados pelos
demonstrativos contábeis fornecem
mecanismos de verificação de erros e
exceções que podem identificar falhas na
estrutura de controles internos da Companhia.
Agentes Externos: as comunicações de
agentes externos (clientes, fornecedores,
órgãos reguladores, instituições financeiras,
etc.), comparadas aos relatórios internos,
podem identificar inconsistências e falhas na
estrutura de controles internos.
Inventário Periódico: os dados dos sistemas
de informação da Companhia são comparados
com contagens físicas periódicas, e a análise
das divergências fornece base para a
identificação de falhas na estrutura de
controle.
Auditores Internos e Externos: as revisões
realizadas pelos auditores identificam
oportunidades de melhoria nos controles
internos da Companhia.
Self-Assessments: as autoavaliações das
áreas operacionais realizadas pelos
empregados que executam as atividades de
controle podem identificar pontos de melhoria
e atualização da estrutura de controles
internos.
Monitoramento contínuo: utilização de
modelos de Value-At-Risk – VAR, Stress-
Testing e análise das variâncias e
comparações para avaliar os impactos das
mudanças do mercado na posição financeira
da Companhia.
Auditoria Interna e Externa: atuação
tempestiva da auditoria interna e externa,
que, através das recomendações de
melhorias, fortalece o processo de
gerenciamento de riscos.
Treinamento e Seminários: atualização
sobre as melhores práticas em gestão de
riscos e demonstração de resultados trazidos
por um processo efetivo de gestão de riscos.
Os aspectos de monitoramento são essenciais
para avaliar a estrutura de controle,
verificando sua eficiência em minimizar a
exposição da Companhia aos seus riscos
internos e externos.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 44/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Considerando as características desses oito
componentes, o COSO® define as seguintes
etapas para a implementação da estrutura de
controles:
• Estímulo e disseminação de uma
cultura de controles por toda a
Companhia.
• Definição dos objetivos do negócio em
níveis estratégicos e operacionais.
Nessa definição, o COSO® classifica os
objetivos como:
− Estratégicos (alinhados à
missão/visão da Companhia);
− Operacionais (direcionando a
eficiência das operações e
salvaguarda de ativos);
− Relatórios Financeiros
(direcionando a integridade na
elaboração e divulgação de
informações financeiras); e
− Conformidade (direcionando o
atendimento às leis e
regulamentações aplicáveis).
• Identificação e avaliação dos riscos
que impactam os objetivos definidos.
• Avaliação dos controles, com base nos
riscos identificados, considerando
atividades de controle, de informação/
comunicação e de monitoramento,
identificando oportunidades de
melhorias e incrementando a
estrutura de controle com essas
oportunidades.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 45/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.5.2. ABNT ISO 31000:2009
A Norma Brasileira ISO 31000:2009, trata dos
princípios e diretrizes da Gestão de Riscos. De
acordo com a referida norma o processo de
Gestão de Riscos deve ser parte integrante da
gestão, incorporado na cultura e nas práticas
e adaptado aos processos de negócios da
organização.
A figura a seguir, ilustra as principais etapas
do processo de gestão de riscos:
Figura 64 ISO 31000:2009 – Processo de gestão de riscos
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
5.5.2.1 Comunicação e consulta
Figura 257 ISO 31000:2009 – Comunicação e consulta
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
A comunicação e consulta devem ser permear
as atividades de todas as fases do processo de
gestão de riscos, envolvendo as partes
interessadas internas e externas. Convém,
contudo, a definição da estratégia e diretrizes
de comunicação e consulta seja desenvolvida
no estágio inicial do processo. A comunicação e consulta, interna e externa,
deve assegurar que os responsáveis pela
implementação do processo de gestão de
riscos e as partes interessadas compreendam
os fundamentos sobre os quais as decisões
são tomadas e as razões pelas quais ações
específicas são requeridas. [ABNT ISO
31000:2009, definição 5.2]
Uma abordagem de equipe consultiva pode:
• Auxiliar a estabelecer o contexto
apropriadamente;
• Assegurar que os interesses das
partes interessadas sejam
compreendidos e considerados;
• Auxiliar a assegurar que os riscos
sejam identificados adequadamente;
• Reunir diferentes áreas de
especialização em conjunto para
análise dos riscos;
• Assegurar que diferentes pontos de
vista sejam devidamente
considerados quando da definição dos
critérios de risco e na avaliação dos
riscos;
• Garantir o aval e o apoio para um
plano de tratamento;
• Aprimorar a gestão de mudanças
durante o processo de gestão de
riscos; e
• Desenvolver um plano apropriado
para comunicação e consulta interna e
externa.
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 46/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.5.2.2 Estabelecimento do contexto
Figura 26 ISO 31000:2009 – Estabelecimento do contexto
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
Ao estabelecer o contexto, a organização
articula seus objetivos, define os parâmetros
externos e internos a serem levados em
consideração ao gerenciar riscos, e estabelece
o escopo e os critérios de risco para o restante
do processo. [ABNT ISO 31000:2009,
definição 5.3]
Entender o contexto externo é importante
para assegurar que os objetivos e as
preocupações das partes interessadas
externas sejam considerados no
desenvolvimento dos critérios de risco. O
contexto externo é baseado no contexto de
toda a organização, porém com detalhes
específicos sobre requisitos legais e
regulatórios, percepções de partes
interessadas e outros aspectos dos riscos
específicos para o escopo do processo de
gestão de riscos. [ABNT ISO 31000:2009,
definição 5.3.2]
Convém que o processo de gestão de riscos
esteja alinhado com a cultura, processos,
estrutura e estratégia da organização. O
contexto interno é algo dentro da
organização que pode influenciar a maneira
pela qual uma organização gerenciará os
riscos. [ABNT ISO 31000:2009, definição
5.3.3]
Quando ao contexto do processo de gestão
de riscos faz-se necessário o estabelecimento
dos objetivos, das estratégias, do escopo e
dos parâmetros das atividades da
organização, ou daquelas partes da
organização em que o processo de gestão de
riscos está sendo aplicado. A gestão dos riscos
deve ser realizada com plena consciência da
necessidade de justificar os recursos
utilizados. Cabe ressaltar que os recursos
requeridos, as responsabilidades e as
autoridades, além dos registros a serem
mantidos, também sejam especificados.
[ABNT ISO 31000:2009, definição 5.3.4]
Por fim, a organização deve definir os
critérios a serem utilizados para avaliar a
significância do risco. Tais critérios devem
refletir os valores, objetivos e recursos da
organização. Alguns podem ser impostos por,
ou derivados de requisitos legais e
regulatórios e outros requisitos que a
organização subscreva. É importante que os
critérios de risco sejam compatíveis com a
política de gestão de riscos da organização,
definidos no início de qualquer processo de
gestão de riscos e analisados criticamente de
forma contínua. [ABNT ISO 31000:2009,
definição 5.3.5]
5.5.2.3 Processo de avaliação de riscos
Figura 278 ISO 31000:2009 – Processo de avaliação de riscos
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
5.5.2.3.1. Identificação de riscos
A organização deve empenhar esforços na
identificação das fontes de risco, áreas de
impactos, eventos (incluindo mudanças nas
circunstâncias) e suas causas e consequências
potenciais. A finalidade desta etapa é gerar
uma lista abrangente de riscos baseada nestes
eventos que possam criar, aumentar, evitar,
reduzir, acelerar ou atrasar a realização dos
objetivos. É importante identificar os riscos
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 47/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
associados com não perseguir uma
oportunidade. A identificação abrangente é
crítica, pois um risco que não é identificado
nesta fase não será incluído em análises
posteriores. [ABNT ISO 31000:2009, definição
5.4.2]
Convém que a organização aplique
ferramentas e técnicas de identificação de
riscos que sejam adequadas aos seus
objetivos e capacidades e aos riscos
enfrentados. Informações pertinentes e
atualizadas são importantes na identificação
de riscos. É recomendável que sejam incluídas
informações adequadas sobre os fatos por trás
dos acontecimentos, sempre que possível e
que pessoas com um conhecimento adequado
sejam envolvidas na identificação dos riscos.
[ABNT ISO 31000:2009, definição 5.4.2]
5.5.2.3.2. Análise de riscos
A análise de riscos envolve desenvolver a
compreensão dos riscos, a fim de fornecer
uma entrada para a avaliação de riscos e para
as decisões sobre a necessidade de os riscos
serem tratados, e sobre as estratégias e
métodos mais adequados de tratamento de
riscos. Adicionalmente, esta análise também
pode fornecer uma entrada para a tomada de
decisões em que escolhas precisam ser feitas
e as opções envolvem diferentes tipos e níveis
de risco. [ABNT ISO 31000:2009, definição
5.4.3]
A condução da análise de riscos envolve a
apreciação das causas e as fontes de risco,
suas consequências positivas e negativas, e a
probabilidade de que essas consequências
possam ocorrer. Vale ressaltar que um evento
pode ter várias consequências e pode afetar
vários objetivos. Convém que os controles
existentes e sua eficácia e eficiência também
sejam levados em consideração. [ABNT ISO
31000:2009, definição 5.4.3]
A confiança na determinação do nível de risco
e sua sensibilidade a condições prévias e
premissas devem ser consideradas na análise
e comunicadas eficazmente para os tomadores
de decisão e, quando apropriado, a outras
partes interessadas. É recomendável que
sejam estabelecidos e ressaltados fatores
como a divergência de opinião entre
especialistas, a incerteza, a disponibilidade, a
qualidade, a quantidade e a contínua
pertinência das informações, ou as limitações
sobre a modelagem. [ABNT ISO 31000:2009,
definição 5.4.3]
A análise de riscos pode ser realizada com
diversos graus de detalhe, dependendo do
risco, da finalidade da análise e das
informações, dados e recursos disponíveis.
Dependendo das circunstâncias, a análise
pode ser qualitativa, semiquantitativa ou
quantitativa, ou uma combinação destas.
[ABNT ISO 31000:2009, definição 5.4.3]
5.5.2.3.3. Avaliação de riscos
A finalidade da avaliação de riscos é auxiliar
na tomada de decisões com base nos
resultados da análise de riscos, sobre quais
riscos necessitam de tratamento e a
prioridade para a implementação do
tratamento. Esta etapa, envolve comparar o
nível de risco encontrado durante o processo
de análise com os critérios de risco
estabelecidos quando o contexto foi
considerado. Com base nesta comparação, a
necessidade do tratamento pode ser
considerada. [ABNT ISO 31000:2009,
definição 5.4.4]
Em algumas circunstâncias, a avaliação de
riscos pode levar à decisão de se proceder a
uma análise mais aprofundada, assim como
também pode levar à decisão de não se tratar
o risco de nenhuma outra forma que seja
manter os controles existentes. Esta decisão
será influenciada pela atitude perante o risco
da organização e pelos critérios de risco que
foram estabelecidos. [ABNT ISO 31000:2009,
definição 5.4.4]
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 48/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
5.5.2.4 Tratamento de riscos
Figura 289 ISO 31000:2009 – Tratamento de riscos
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
O tratamento de riscos envolve a seleção de
uma ou mais opções para modificar os riscos e
a implementação dessas opções. Uma vez
implementado, o tratamento fornece novos
controles ou modifica os existentes. Tratar
riscos envolve um processo cíclico composto
por:
• Avaliação do tratamento de riscos já
realizado;
• Decisão se os níveis de risco residual
são toleráveis;
• Se não forem toleráveis, a definição e
implementação de um novo
tratamento para os riscos; e
• Avaliação da eficácia desse
tratamento.
[ABNT ISO 31000:2009, definição 5.5.1]
As opções de tratamento de riscos não são
necessariamente mutuamente exclusivas ou
adequadas em todas as circunstâncias. As
opções podem incluir os seguintes aspectos:
• Ação de evitar o risco ao se decidir
não iniciar ou descontinuar a
atividade que dá origem ao risco;
• Tomada ou aumento do risco na
tentativa de tirar proveito de uma
oportunidade;
• Remoção da fonte de risco;
• Alteração da probabilidade;
• Alteração das consequências;
• Compartilhamento do risco com outra
parte ou partes (incluindo contratos e
financiamento do risco); e
• Retenção do risco por uma decisão
consciente e bem embasada.
[ABNT ISO 31000:2009, definição 5.5.1]
5.5.2.5 Monitoramento e análise crítica
Figura 2910 ISO 31000:2009 – Monitoramento e análise crítica
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
O monitoramento e a análise crítica devem ser
planejados como parte do processo de gestão
de riscos e envolva a checagem ou vigilância
regulares. Podem ser periódicos ou acontecer
em resposta a um fato específico.
Adicionalmente, as responsabilidades relativas
ao monitoramento e à análise crítica devem
estar claramente definidas. [ABNT ISO
31000:2009, definição 5.6]
Os processos de monitoramento e análise
crítica da organização abrange todos os
aspectos do processo da gestão de riscos com
a finalidade de:
• Garantir que os controles sejam
eficazes e eficientes no projeto e na
operação;
• Obter informações adicionais para
melhorar o processo de avaliação dos
riscos;
• Analisar os eventos (incluindo os
“quase incidentes”), mudanças,
tendências, sucessos e fracassos e
aprender com eles;
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 49/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
• Detectar mudanças no contexto
externo e interno, incluindo alterações
nos critérios de risco e no próprio
risco, as quais podem requerer
revisão dos tratamentos dos riscos e
suas prioridades; e
• Identificar os riscos emergentes.
[ABNT ISO 31000:2009, definição
5.6]
O progresso na implementação dos planos de
tratamento de riscos proporciona uma medida
de desempenho. Os resultados podem ser
incorporados na gestão, na mensuração e na
apresentação de informações (tanto externa
quanto internamente) a respeito do
desempenho global da organização. É
recomendável que os resultados do
monitoramento e da análise crítica sejam
registrados e reportados externa e
internamente conforme apropriado, e também
convém que sejam utilizados como entrada
para a análise crítica da estrutura de gestão
de riscos. [ABNT ISO 31000:2009, definição
5.6]
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 50/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
ANEXOS
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 51/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES
A matriz a seguir especifica os papéis e responsabilidades no processo de Gestão de Riscos através
da distribuição das seguintes funções:
As responsabilidades foram divididas entre os seguintes agentes:
• Área de Governança, Conformidade e Riscos
• Gestores das áreas de negócio
• Comitê de Auditoria Estatutário
• Diretoria Executiva
• Conselho de Administração
Grupo de Atividades
Atividade
Responsável
Observação Área de
Governança, Conformidade e Riscos
Gestores de
Negócio
Comitê de
Auditoria Estatutár
io
Diretoria Executiva
Conselho de Administração
PLA
NEJA
MEN
TO
Análise Geral de Riscos
Os ciclos de análise geral de riscos devem ocorrer, a cada 2 anos (pelo menos).
Apetite ao risco
Aprovar o grau de apetite a riscos da Companhia e possíveis alterações.
Avaliação e priorização dos
riscos
A priorização é derivada da análise geral de riscos. Além
dos riscos, devem ser priorizados também os processos a serem mapeados, com seu respectivo orçamento.
Definição dos indicadores para monitoramento
dos riscos prioritários
Os riscos selecionados como prioritários terão indicadores a serem monitorados periodicamente.
R
R
R R
A A
A
A C
A I I
C C
R I
C
C A R
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 52/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Grupo de Atividades
Atividade
Responsável
Observação Área de
Governança,
Conformidade e Riscos
Gestores de
Negócio
Comitê de
Auditoria Estatutár
io
Diretoria
Executiva
Conselho de
Administração
M
AP
EA
MEN
TO
E P
LA
NO
DE R
ES
PO
STA
S
Mapeamento dos riscos e
execução de trabalhos
específicos nos processos
Eventualmente, o presidente pode ser consultado durante a atividade de monitoramento dos riscos nos processos.
Definição dos planos de
resposta aos riscos com grau
de exposição baixa, média
Os planos de resposta devem contemplar as ações para redução do grau de exposição, a exemplo da implantação de controles internos.
Definição dos planos de
resposta aos riscos com grau
de exposição alta, extrema.
Os planos de resposta poderão ser resultantes de: - Planos de ação
endereçados nos
trabalhos;
- Planos de resposta
aos riscos.
Implantação dos planos de
resposta aos riscos
REP
OR
TES
PER
IÓ
DIC
OS
Reporte dos trabalhos e
status dos riscos com grau de
exposição baixa e média
Os reportes serão realizados, de acordo com o plano anual de mapeamento dos processos ou a partir de trabalhos especiais.
Reporte dos trabalhos e
status dos riscos com grau de
exposição alta ou extrema
Periodicidade trimestral
MO
NITO
RA
MEN
TO
CO
NTÍN
UO
DO
S
RIS
CO
S Monitoramento e
reporte dos status dos planos de resposta aos
riscos
Reportes pontuais dos status dos planos de resposta podem ser levados, periodicamente, pelo Comitê de Auditoria Estatutário ao Conselho de Administração.
R I C I I
I
R
R R
R
R
A
R C A
I
I A I
I I
I
R
I I I I R
I I I
I
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 53/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Grupo de Atividades
Atividade
Responsável
Observação Área de
Governança,
Conformidade e Riscos
Gestores de
Negócio
Comitê de
Auditoria Estatutár
io
Diretoria
Executiva
Conselho de
Administração
MO
NITO
RA
MEN
TO
CO
NTÍN
UO
DO
S R
IS
CO
S Monitoramento e
reporte dos indicadores e dos eventos de riscos de baixo e médio
impacto
O monitoramento dos riscos de baixo e médio impacto deve ocorrer de forma pontual, através do acompanhamento de eventos de perda ou contingências associadas ao risco.
Monitoramento dos indicadores e dos eventos de
riscos de impacto alto e extremo
O monitoramento dos riscos de alto e extremo impacto deve ocorrer através do: - Acompanhamento de eventos de perda ou contingências associadas ao risco;
- Indicadores de risco (KRI) para os riscos prioritários;
- Acompanhamento dos planos de resposta aos riscos.
DIS
CO
RD
ÂN
CIA
S D
E O
PIN
IÃ
O
Deliberação sobre
discordâncias na avaliação e/ou
sobre o plano de resposta para
riscos de impacto baixo ou médio
As discordâncias podem ser geradas nas atividades de
mapeamento de processos/riscos ou no monitoramento de indicadores.
O Comitê de Auditoria Estatutário tem a autonomia para deliberar sobre as discordâncias entre a gestão de riscos e controles internos e áreas de negócio.
Deliberação sobre
discordâncias na avaliação e/ou
sobre o plano de resposta para
riscos de impacto alto ou extremo
O Conselho só será acionado para eventuais pontos de discordância entre o Comitê Riscos e Presidência, sobre a avaliação e/ou sobre o plano de resposta para riscos críticos.
I I I R
I I
A
I I
R
R
R
A
MANUAL DE PROCEDIMENTOS Identificação Versão Folha
MGR-001 1 54/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Grupo de Atividades
Atividade
Responsável
Observação Área de
Governança,
Conformidade e Riscos
Gestores de
Negócio
Comitê de
Auditoria Estatutár
io
Diretoria
Executiva
Conselho de
Administração
Aprovação de alterações na
política de gestão de riscos
ANEXO II – DICIONÁRIO DE RISCOS
A R