manual de gestão de riscos - copergas.com.br · profissionais da entidade, e desenvolvido para...

MANUAL DE PROCEDIMENTOS Identificação Versão Folha

MGR-001 1 1/55

Título: Manual de Gestão de Riscos

Manual de Procedimentos

Documentos impressos não garantem a validade do mesmo.

Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.

MANUAL DE GESTÃO DE RISCOS COPERGÁS


MGR-001 1 2/55





Conteúdo

1. OBJETIVO ....................................................................................................................................... 3

2. CAMPO DE APLICAÇÃO ................................................................................................................. 4

3. REFERÊNCIAS ................................................................................................................................ 5

4. CONTEÚDO GERAL ........................................................................................................................ 6

4.1. Tabela de figuras ....................................................................................................................... 6

4.2. Símbolos e abreviações ............................................................................................................ 7

4.3. Conceitos ..................................................................................................................................... 8

4.3.1. Risco...................................................................................................................................... 8

4.3.2. Risco de negócio ................................................................................................................. 8

4.3.3. Gestão de risco corporativo .............................................................................................. 8

4.3.4. Apetite, tolerância e exposição ao risco ......................................................................... 8

4.3.5. Controles internos .............................................................................................................. 8

4.3.6. Governança corporativa .................................................................................................... 9

4.3.7. COSO® ERM ......................................................................................................................... 9

4.3.8. Impacto e vulnerabilidade ................................................................................................. 9

4.3.9. Fonte de risco ...................................................................................................................... 9

4.3.10. KRI – Key Risk Indicator ................................................................................................... 9

4.3.11. Premissa para avaliação de riscos ................................................................................... 9

4.4. Plano de treinamento .............................................................................................................. 11

4.4.1. Treinamento do staff da área de gestão de riscos ...................................................... 11

4.4.2. Plano de conscientização da Organização e treinamento de novos funcionários .. 12

4.5. Plano de comunicação ............................................................................................................. 13

5. CONTEÚDO ESPECÍFICO ............................................................................................................ 14

5.1. Missão e visão da gestão de riscos ....................................................................................... 14

5.1.1. Missão da gestão de riscos da COPERGÁS ................................................................... 14

5.1.2. Visão da gestão de riscos da COPERGÁS ..................................................................... 14

5.2. Estrutura organizacional ......................................................................................................... 15

5.3. Competências e responsabilidades ....................................................................................... 16

5.4. Processo de gestão integrada de riscos ............................................................................... 19

5.4.1. Etapa de identificação e avaliação de riscos ................................................................ 20

5.4.2. Etapa de resposta e mensuração de riscos (tratamento de riscos) ......................... 29

5.4.3. Etapa de monitoramento contínuo e reporte dos riscos ............................................ 35

5.5. Metodologias ............................................................................................................................. 37

5.5.1. COSO® ERM ....................................................................................................................... 37

5.5.2. ABNT ISO 31000:2009 .................................................................................................... 45

ANEXOS ............................................................................................................................................... 50

ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES ......................................................... 51

ANEXO II – DICIONÁRIO DE RISCOS ......................................................................................... 54


MGR-001 1 3/55





1. OBJETIVO

Definir orientações gerais para o processo de gestão integrada de riscos, de forma a assegurar que:

Os riscos de negócio inerentes às atividades da COPERGÁS sejam identificados, analisados,

avaliados e um plano de tratamento seja definido.

A estrutura de controles internos seja continuamente revisada, considerando os riscos

existentes nos processos de negócio, minimizando os custos associados a riscos não

controlados;

Os potenciais conflitos de interesse sejam identificados e os riscos associados sejam

minimizados, através da implementação de medidas para segregação de funções e/ou

monitoramento das atividades;

Todos os empregados compreendam claramente os objetivos do processo de gestão de

riscos e os papéis, as funções e as responsabilidades atribuídas aos diversos níveis da

Companhia;

O fluxo de reporte e limites de tolerância estejam previamente aprovados pela Alta

Administração;

Os planos de resposta aos riscos sejam tempestivamente monitorados pelas instâncias

responsáveis na Companhia;

Os objetivos estratégicos da Companhia sejam plenamente atendidos;

A COPERGÁS atenda aos critérios da Lei nº 13.303/16


MGR-001 1 4/55





2. CAMPO DE APLICAÇÃO

Este manual aplica-se a todos os níveis organizacionais da Companhia, os quais são integrantes do

processo de gerenciamento de riscos, direta ou indiretamente.


MGR-001 1 5/55





3. REFERÊNCIAS

- Código de Conduta e Integridade da COPERGÁS;

- Plano Anual de Auditoria Interna.


MGR-001 1 6/55





4. CONTEÚDO GERAL

4.1. Tabela de figuras

FIGURA 1 LINHAS DE DEFESA DO RISCO .......................................................................................... 15

FIGURA 2 ESTRUTURA ORGANIZACIONAL DA GESTÃO DE RISCOS ............................................................. 15

FIGURA 3 PROCESSO DE GESTÃO INTEGRADA DE RISCOS ...................................................................... 19

FIGURA 4 COMPONENTES DO PROCESSO DE GESTÃO DE RISCOS .............................................................. 20

FIGURA 5 LEGENDA DO DICIONÁRIO DE RISCOS ................................................................................. 21

FIGURA 6 DICIONÁRIO DE RISCOS ................................................................................................ 21

FIGURA 7 MODELO DE CLASSIFICAÇÃO DE MACROPROCESSOS (MPC) ...................................................... 22

FIGURA 8 MAPA DE RISCOS ........................................................................................................ 24

FIGURA 9 CRITÉRIOS PARA AVALIAÇÃO DO IMPACTO ............................................................................ 25

FIGURA 10 PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................... 25

FIGURA 11 METODOLOGIA PARA AVALIAÇÃO DE RISCOS ....................................................................... 26

FIGURA 12 CRITÉRIOS PARA AVALIAÇÃO DA VULNERABILIDADE ............................................................... 27

FIGURA 13 PROCESSO DE AVALIAÇÃO DE RISCOS NOS PROCESSOS .......................................................... 27

FIGURA 14 METODOLOGIA PARA AVALIAÇÃO DE RISCOS NOS PROCESSOS ................................................... 27

FIGURA 15 COSO® ERM – INTERNATIONAL INTEGRATED FRAMEWORK .................................................... 37

FIGURA 16 COSO® ERM – INTERNAL ENVIRONMENT ......................................................................... 37

FIGURA 17 COSO® ERM – OBJECTIVE SETTING............................................................................... 38

FIGURA 18 COSO® ERM – EVENT IDENTIFICATION ........................................................................... 39

FIGURA 19 COSO® ERM – RISK ASSESSMENT ................................................................................ 39

FIGURA 20 COSO® ERM – RISK RESPONSE ................................................................................... 40

FIGURA 21 COSO® ERM – CONTROL ACTIVITIES ............................................................................. 41

FIGURA 22 COSO® ERM – INFORMATION & COMMUNICATION .............................................................. 42

FIGURA 23 COSO® ERM – MONITORING ....................................................................................... 43

FIGURA 24 ISO 31000:2009 – PROCESSO DE GESTÃO DE RISCOS ........................................................ 45

FIGURA 25 ISO 31000:2009 – COMUNICAÇÃO E CONSULTA ............................................................... 45

FIGURA 26 ISO 31000:2009 – ESTABELECIMENTO DO CONTEXTO......................................................... 46

FIGURA 27 ISO 31000:2009 – PROCESSO DE AVALIAÇÃO DE RISCOS .................................................... 46

FIGURA 28 ISO 31000:2009 – TRATAMENTO DE RISCOS ................................................................... 48

FIGURA 29 ISO 31000:2009 – MONITORAMENTO E ANÁLISE CRÍTICA .................................................... 48


MGR-001 1 7/55





4.2. Símbolos e abreviações

ABNT – Associação Brasileira de Normas Técnicas.

AGR – Análise Geral de Riscos.

COSO® ERM – Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk

Management.

COPERGÁS – Companhia Pernambucana de Gás.

IBGC – Instituto Brasileiro de Governança Corporativa.

ISO – International Organization for Standardization.

KRI – Key Risk Indicator.

MCP – Modelo de Classificação de Processos.


MGR-001 1 8/55





4.3. Conceitos

4.3.1. RISCO

Conforme definido no COSO® ERM, risco é a possibilidade de ocorrência de um evento, oriunda de

fontes internas ou externas, capaz de afetar adversamente o atendimento dos objetivos da

Companhia.

É o efeito da incerteza nos objetivos. [ABNT ISO GUIA 73:2009, definição 1.1]

4.3.2. RISCO DE NEGÓCIO

É a exposição a impactos negativos resultantes de decisões ou eventos não esperados de natureza

estratégica, operacional, financeira, legal e outros decorrentes da maneira pela qual a organização

busca atingir os seus objetivos.

4.3.3. GESTÃO DE RISCO CORPORATIVO

É um conceito de avaliação e gerenciamento de incertezas (“riscos”) enfrentadas pela Companhia

por meio de um enfoque estruturado de controles que alinha estratégia, processos, pessoas,

tecnologia e conhecimentos, objetivando a preservação e criação de valor aos stakeholders.

Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. [ABNT

ISO GUIA 73:2009, definição 2.1]

4.3.4. APETITE, TOLERÂNCIA E EXPOSIÇÃO AO RISCO

Apetite ao risco é a exposição a risco que a Companhia está disposta a aceitar para atingir suas

metas e objetivos, preservar e criar valor, estando diretamente relacionada à sua estratégia.

[COSO® ERM]

Quantidade e tipos de riscos que uma organização está preparada para buscar ou reter. [ABNT ISO

GUIA 73:2009, definição 3.7.1.2]

O apetite ao risco reflete a filosofia de gerenciamento de riscos da Companhia.

A tolerância ao risco é o nível aceitável de variação do apetite, considerando o atendimento de

objetivos específicos da Companhia. [COSO® ERM]

Disposição da organização ou parte interessada em suportar o risco após o seu tratamento, a fim de

atingir os seus objetivos. [ABNT ISO GUIA 73:2009, definição 3.7.1.3]

Ao contrário do apetite ao risco, que é ampla, a tolerância ao risco é tática e específica. Isto é, ela

deve ser expressa em unidades mensuráveis, aplicável em todos os níveis da organização.

A exposição ao risco é determinada considerando a avaliação do risco, pela combinação do

impacto e vulnerabilidade; deve estar dentro do apetite/tolerância a risco definidos pela Companhia.

Medida em que uma organização ou parte interessada está sujeita à um evento. [ABNT ISO GUIA

73:2009, definição 3.6.1.2]

4.3.5. CONTROLES INTERNOS

Controle interno é definido como um processo, executado pela Alta Administração, gerência ou

outros colaboradores da Companhia, considerando políticas, procedimentos, atividades e


MGR-001 1 9/55





mecanismos designados para proporcionar uma razoável segurança para realização dos objetivos de

negócio. Um processo conduzido pela estrutura de governança, pela administração e por outros

profissionais da entidade, e desenvolvido para proporcionar garantia (segurança) razoável com

respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. [COSO®

ERM 2016]

4.3.6. GOVERNANÇA CORPORATIVA

Conforme definido pelo Instituto Brasileiro de Governança Corporativa (IBGC), governança

corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas,

envolvendo os relacionamentos entre acionistas, Conselho de Administração, Diretoria e órgãos de

controle. As boas práticas de governança corporativa convertem princípios em recomendações

objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da Companhia,

facilitando seu acesso ao capital e contribuindo para a sua sustentabilidade.

4.3.7. COSO® ERM

Modelo internacional de controles internos composto por oito camadas (Ambiente Interno, Definição

de Objetivos, Identificação dos Riscos, Avaliação do Risco, Tratamento do Risco, Ambiente de

Controle, Informação e Comunicação e Monitoramento). É uma iniciativa conjunta de cinco

organizações do setor privado que se propõe a liderar a geração de conhecimento por meio de

desenvolvimento de estruturas e diretrizes sobre controles internos, gerenciamento de riscos

corporativos e prevenção de fraudes. [COSO® ERM 2016]

4.3.8. IMPACTO E VULNERABILIDADE

Impacto: é a extensão a que a Companhia pode estar exposta em relação aos objetivos de

negócios, antes e/ou depois da avaliação do respectivo risco, podendo ser de ordem tangível ou

intangível.

Vulnerabilidade: considera a atual estrutura de controles da Companhia: técnicas atuais para

mitigação de riscos, eficiência e eficácia de controles, histórico e impactos anteriores de riscos,

complexidade do gerenciamento de riscos e nível de crescimento e contração. É a extensão à qual a

Companhia pode estar exposta em relação aos objetivos de negócios ou desprotegida em relação

aos impactos negativos depois que os controles existentes foram avaliados. Propriedades intrínsecas

de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma

consequência. [ABNT ISO GUIA 73:2009, definição 3.6.1.6]

4.3.9. FONTE DE RISCO

Situações e/ou circunstâncias que podem levar à ocorrência, ou ao aumento da probabilidade de

ocorrência, de uma situação de risco. Elemento que, individualmente ou combinado, tem o potencial

intrínseco para dar origem ao risco. [ABNT ISO GUIA 73:2009, definição 3.5.1.2]

4.3.10. KRI – KEY RISK INDICATOR

KRI é uma medida utilizada para avaliar como o risco se comporta e para fornecer alertas de forma

rápida e antecipada quanto à exposição, seu potencial de ganho ou perda futura, ou seja, a

possibilidade de impacto positivo ou negativo do risco nos processos de negócio da Companhia.

4.3.11. PREMISSA PARA AVALIAÇÃO DE RISCOS

Quanto maior impacto e vulnerabilidade, maior é o nível de exposição ao risco.


MGR-001 1 10/55






MGR-001 1 11/55





4.4. Plano de treinamento

A seguir descrevemos o plano de treinamento a ser adotado pela COPERGÁS, a fim de assegurar

que:

• A cultura de Gestão de Riscos seja disseminada por toda a Companhia, atingindo as

diversas áreas;

• Todos os funcionários compreendam claramente os objetivos do processo de Gestão de

Riscos, bem como os papéis, funções e as responsabilidades atribuídas aos diversos níveis

hierárquicos da Companhia;

• Todos os funcionários tenham conhecimento dos meios de comunicação disponíveis para o

processo de Gestão de Riscos, conforme o plano de comunicação definido.

O programa de treinamento deverá abranger todos os funcionários da COPERGÁS, observando seu

grau de participação nas funções de Gestão de Riscos e será estruturado em três etapas distintas,

quais sejam:

4.4.1. TREINAMENTO DO STAFF DA ÁREA DE GESTÃO DE RISCOS

Os funcionários designados a atuarem na Área de Governança, Conformidade e Riscos devem

receber treinamento específico e contínuo em Gestão de Riscos, atendendo a cursos, palestras e

seminários específicos, abordando os seguintes assuntos:

• Política de Gestão de Riscos da COPERGÁS;

• Conceitos de Gestão Integrada de Riscos;

• Critérios e premissas para avaliação de riscos e controles internos;

• Explicação sobre o funcionamento da metodologia e ferramentas utilizadas para o processo

de Gestão de Riscos da COPERGÁS, contemplando:

− Modelo de Classificação de Processos – MCP;

− Linguagem Comum de Riscos – LCR;

− Sistema informatizado para Gestão de Riscos;

− Modelo de autoavaliação de controles (Control Self Assessment).

• Procedimentos para elaboração e monitoramento de planos de remediação/mitigação de

riscos;

• Legislação aplicável às atividades da Companhia (saneamento, regulatória, ambiental,

fiscal, etc.);

• Segurança da informação; e

• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo

com o plano de comunicação.


MGR-001 1 12/55





4.4.2. PLANO DE CONSCIENTIZAÇÃO DA ORGANIZAÇÃO E TREINAMENTO DE NOVOS FUNCIONÁRIOS

O plano de conscientização dos empregados quanto à importância do processo de Gestão de

Riscos deverá ser realizado no início das atividades de Gestão de Riscos e deve ser repetido

sempre que a Alta Administração julgar necessário.

Esta etapa consiste na realização de palestras para grupos de empregados, a serem ministradas

por membros da Área de Governança, Conformidade e Riscos.

Os seguintes tópicos deverão ser abordados nas palestras:

• Definição dos conceitos de risco e Gestão de Riscos;

• Apresentação da missão e visão do processo de Gestão de Riscos;

• Conscientização sobre a importância da Gestão de Riscos;

• Apresentação da composição do Comitê de Auditoria Estatutário;

• Descrição da estrutura criada na COPERGÁS para desempenhar as atividades e os

empregados envolvidos;

• Explicação acerca da importância da participação das demais áreas no processo de Gestão

de Riscos;

• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo

com o plano de comunicação; e

• Esclarecimento de eventuais dúvidas.

Semestralmente, a área de Gestão de Pessoas deve informar à Área de Governança, Conformidade

e Riscos todos os empregados admitidos no último período que não tenham participado do plano de

conscientização. Esses funcionários devem assistir à palestra, conforme avaliação da Área de

Governança, Conformidade e Riscos.


MGR-001 1 13/55





4.5. Plano de comunicação

O Plano de Comunicação deve atender a todos os empregados da Companhia, observando o grau de

responsabilidade e envolvimento no processo de Gestão de Riscos de cada um.

O Plano de Comunicação deve ser estabelecido para assegurar que:

• Todas as áreas compreendam claramente o papel, os objetivos, as funções e as

responsabilidades da Área de Governança, Conformidade e Riscos, enquanto função de

controle independente dentro da COPERGÁS, bem como seus respectivos deveres e

responsabilidades para o entendimento e cumprimento das políticas definidas, das leis e dos

regulamentos existentes.

• O pessoal chave compreenda seu papel de atuação e suas responsabilidades no processo de

Gestão de Riscos.

• Os planos de ação sejam devidamente implementados, com o intuito de minimizar o risco

dos procedimentos da Companhia não estarem em conformidade com as leis e os

regulamentos (internos e externos), especialmente nos casos em que haja exposição a

multas e/ou sanções de órgãos reguladores.

Alguns exemplos de comunicação podem ser adotados pela COPERGÁS. Abaixo estão descritas

algumas opções:

• Jornal interno/ TVs Internas – divulgação bimestral de notícias sobre o processo Gestão de

Riscos, sobre as atividades desempenhadas, as áreas envolvidas e os principais resultados.

Divulgação permanente de informações relevantes e atualizadas sobre a Área de

Governança, Conformidade e Riscos, tais como usuários-chave, objetivo, missão, função,

áreas de atuação, principais contatos e esclarecimento de dúvidas frequentes (FAQs);

• Correio eletrônico e intranet – divulgação de endereço de correio eletrônico para a

comunicação entre os demais funcionários da COPERGÁS e a Gestão de Riscos.

• Alertas de pop-ups nos computadores da Companhia – disseminação de tópicos relevantes

acerca da Gestão de Riscos, além da possibilidade de lançamento de pesquisas,

esclarecimento de dúvidas frequentes (FAQs) e/ou lançamento de quiz sobre fatos

importantes (highlights), curiosidades, resultados e tendências sobre a gestão de riscos.


MGR-001 1 14/55





5. CONTEÚDO ESPECÍFICO

5.1. Missão e visão da gestão de riscos

5.1.1. MISSÃO DA GESTÃO DE RISCOS DA COPERGÁS

Amparar o desenvolvimento sustentável da Companhia frente, a partir da aplicação de metodologia

estruturada para o gerenciamento de riscos corporativos, favorecendo maior assertividade do

processo decisório da Alta Administração e internalizando a cultura de gestão de riscos por meio de

uma linguagem comum.

5.1.2. VISÃO DA GESTÃO DE RISCOS DA COPERGÁS

Garantir a implantação efetiva do processo de gestão de riscos e a consolidação do tema em todos

os colaboradores da Companhia até 2020.


MGR-001 1 15/55





5.2. Estrutura organizacional

A distribuição de responsabilidades no processo de gestão de riscos deve contemplar agentes nas

três linhas de defesa, conforme modelo sugerido pelo IIA – Instituto dos Auditores Internos, a

saber:

Figura 1 Linhas de Defesa do Risco

Fonte: Adaptação da Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles. IIA (2013)

A seguir, apresentamos a estrutura de governança corporativa para a Gestão de Riscos proposta e

seus respectivos níveis hierárquicos:

Figura 2 Estrutura organizacional da Gestão de Riscos

Fonte: Elaborado por Deloitte©


MGR-001 1 16/55





5.3. Competências e responsabilidades

A Gestão de Riscos na COPERGÁS é realizada através de uma estrutura coordenada pelo Comitê de

Auditoria Estatutário, com o envolvimento ativo de dois atores principais: Área de Governança,

Conformidade e Riscos e gestores das áreas de negócio, conforme descrição a seguir:

Comitê de Auditoria Estatutário: atividades de aprovação visando assegurar o equilíbrio, a

transparência e a integridade das informações, diante do cumprimento das suas principais

atribuições, a saber:

I - Aprovar a metodologia e os documentos chave (exemplos: Política de Gestão de Riscos,

Manual de Gestão de Riscos, ISO 31000 etc.) a serem utilizados para a condução do processo

de Gestão de Riscos junto ao Comitê de auditoria estatutário e ricos e o Conselho

Administrativo;

II - Incentivar o cumprimento da Política de Gestão de Riscos e o Manual de Gestão de Riscos;

III - Analisar o apetite ao risco e submete-lo para aprovação do Conselho de Administração.

IV - Submeter periodicamente ao Conselho de Administração relatório sobre os resultados do

monitoramento dos riscos inerentes às atividades da Companhia e que possam afetar o

atendimento aos seus objetivos;

V - Acompanhar de forma sistemática os Indicadores de Riscos, com o objetivo de garantir

sua eficácia; e

VI - Avaliar a efetividade do processo de gestão de riscos, principalmente no tocante à

definição, revisão e monitoramento dos riscos priorizados.

Área de Governança, Conformidade e Riscos: atividades de planejamento e gestão de riscos

corporativos da Companhia, visando garantir a execução da política de riscos aprovada,

através da aceitação ou redução dos riscos estratégicos, financeiros, operacionais e legais.

Monitoramento do ambiente de controles internos e acompanhamento do nível de

implementação das melhorias visando manter os riscos no nível definido pela Alta

Administração. A Área de Governança, Conformidade e Riscos é responsável pelas seguintes

atividades na COPERGÁS:

I - Realizar estudos e análise qualitativa e quantitativa de riscos estratégicos, financeiros,

operacionais e legais;

II - Propor e revisar metodologia de avaliação, apetite, tolerância e gestão de riscos

corporativos;

III - Planejar os processos e riscos a serem mapeados na ótica de identificação e

aperfeiçoamento da estrutura de controles;

IV - Identificar e monitorar riscos, avaliando vulnerabilidade e impacto da ocorrência,

propondo medidas para controle e priorização dos riscos;

V - Acompanhar a implementação dos planos de ação estabelecidos provenientes dos

trabalhos de auditoria interna e gestão de riscos;

VI - Realizar articulação e dar suporte às demais áreas da empresa, auxiliando na definição

dos responsáveis primários dos riscos na sua gestão de riscos;

VII - Assessorar os responsáveis primários dos riscos quanto à exposição e tolerância ao risco,

bem como à definição e execução de ações mitigatórias de controles internos e respostas aos

eventos;

VIII - Revisar relatório de análise de riscos contendo classificação, plano de resposta e

estratégias de monitoramento;

IX - Disseminar linguagem comum de riscos na Companhia visando uniformização e

padronização dos conceitos;

X - Disseminar cultura de controles internos com base em modelos reconhecidos

internacionalmente (ex.: COSO®);


MGR-001 1 17/55





XI - Conduzir processos de autoavaliação de controles;

XII - Manter uma base de dados de riscos e controles internos relacionados aos processos de

negócio da Companhia no SGI (Sistema de Gestão Integrada);

XIII - Realizar reportes à Alta Administração e Comitê de Auditoria Estatutário quanto ao

cenário de riscos da Companhia;

XIV - Apontar ao Comitê de Auditoria Estatutário ou Comitê de Ética a ocorrência de não

conformidades, falhas, desvios, irregularidades e/ou ilegalidades observadas;

XV - Realizar a gestão do ambiente de controles internos, de acordo com políticas,

certificações legais, regulatórias e demais diretrizes para mitigar o risco;

XVI - Orientar e desenhar controles internos junto às áreas da Companhia, alinhados ao

processo de avaliação dos riscos para implementação e priorização das ações mitigatórias;

XVII - Dar suporte no monitoramento e avaliação dos controles internos dos processos de

negócio (financeiros, corporativos, tecnológicos, operacionais, etc) para tomada de decisão e

a fim de garantir a conformidade das práticas de gestão de riscos;

XVIII - Assegurar e acompanhar revisão e atualização periódica dos controles internos

implementados;

XIX - Assessorar a auditoria interna e externa no levantamento de informações e

documentações solicitados para fins de auditoria;

XX - Define e propõe metodologias para avaliação e acompanhamento dos riscos de

Compliance;

XXI - Consolida os riscos de Compliance e ações mitigantes;

XXII - Realiza ações de promoção da cultura interna de Compliance;

XXIII - Coordena as melhorias de processos para mitigar os riscos de Compliance; e

XXIV - Monitora os riscos de Compliance.

É permitido à Área de Governança, Conformidade e Riscos o acesso a todas as áreas de negócio que

compõem a COPERGÁS e a seus respectivos dados e informações. Entretanto, não está investida de

autoridade executiva sobre nenhuma das áreas.

Gestores das áreas de negócio (responsáveis primários ou donos dos riscos – risk owners):

responsáveis primários pela Gestão de Riscos, os gestores das diversas áreas de negócio da

COPERGÁS atuam ativamente neste processo, através das seguintes ações:

I - Ter conhecimento prévio e efetuar o monitoramento dos riscos e controles, direta ou

indiretamente, envolvidos nas operações sob sua gestão;

II - Identificar as áreas, causas e consequências associadas aos riscos;

III - Assumir os riscos dentro dos limites de tolerância definidos pelo Comitê de Auditoria

Estatutário;

IV - Definir as ações mitigatórias em conjunto com a Área de Governança, Conformidade e

Riscos;

V - Buscar os recursos necessários para mitigar os riscos;

VI - Participar da avaliação do apetite e limite de tolerância dos riscos;

VII - Executar suas atividades e decisões em linha com as premissas desta política ou outras

diretrizes da COPERGÁS, de forma a minimizar a exposição da Companhia a riscos;

VIII - Reportar periodicamente à Área de Governança, Conformidade e Riscos ou ao Comitê de

Auditoria Estatutário dos eventos relevantes, que afetem o grau de exposição da COPERGÁS a

riscos; e

IX - Assegurar a implantação dos planos de resposta e monitoramento dos riscos envolvidos

nas operações sob sua gestão, de acordo com as deliberações tomadas em conjunto com a

Área de Governança, Conformidade e Riscos, Comitê de Auditoria Estatutário ou Alta

Administração.


MGR-001 1 18/55





O Anexo I – Matriz de papéis e responsabilidades do presente Manual contém a relação das

principais atividades do processo de Gestão de Riscos e os respectivos papéis e responsabilidades

dos principais atores do processo, a saber: Área de Governança, Conformidade e Riscos, Gestores

de Negócio, Comitê de Auditoria Estatutário, Diretoria Executiva e Conselho de Administração.


MGR-001 1 19/55





5.4. Processo de gestão integrada de riscos

O processo de gestão integrada de riscos foi desenvolvido conforme apresentado a seguir:

Figura 3 Processo de gestão integrada de riscos

Fonte: Elaborado por Deloitte©.

Abaixo segue breve descrição dos nove princípios fundamentais da gestão integrada de riscos:

• Definição e entendimento dos riscos: linguagem comum de riscos, que direciona tanto a

criação como a preservação de valor à empresa, e que seja consistente em todas as

Unidades de Negócio.

• Utilização de padrões e metodologias: metodologia de gestão de riscos suportada por

um padrão reconhecido (ex.: COSO® ERM, ISO 31000) para identificação, resposta e

gerenciamento dos riscos.

• Papéis e responsabilidade: papéis, responsabilidades e limites de alçada claramente

definidos e alinhados à estrutura de profissionais da empresa.

• Envolvimento da Alta Administração: órgãos de gestão (ex.: Conselho de

Administração, Comitê de Auditoria e Riscos) atuando com transparência e diligência nas

práticas de gestão de riscos.

• Responsabilidades da Alta Administração: grupo executivo responsável pelo desenho,

implantação e manutenção de um programa estruturado de gestão de riscos.

• Infraestrutura para gestão de riscos: infraestrutura única de riscos para orientar e

suportar todas as unidades e áreas de negócio em suas responsabilidades relacionadas a

riscos.

• Avaliação periódica do processo: unidades de negócio diretamente responsáveis pelo

desempenho de suas estruturas, gerenciamento dos riscos associados a elas e

comunicação/reporte à Administração.

• Responsabilidades das áreas de negócio: outras áreas asseguram, monitoram e

reportam a efetividade do processo de gestão de riscos da empresa aos órgãos de gestão.

• Suporte de funções pervasivas: determinadas áreas possuem um impacto pervasivo na

empresa (ex.: TI) e, além de prover suporte às unidades de negócio em relação ao

programa de gestão de riscos, potencializam o sucesso do gerenciamento quando

estrategicamente alinhados aos elementos do programa de riscos.

O processo de gerenciamento de riscos da COPERGÁS considera os seguintes componentes:


MGR-001 1 20/55





Figura 4 Componentes do processo de gestão de riscos


5.4.1. ETAPA DE IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS

5.4.1.1 Análise Geral de Riscos (AGR)

A AGR reflete, de maneira estruturada, as percepções dos executivos em relação aos principais

aspectos de gestão e riscos envolvidos nas operações, áreas/processos de negócio e características

da Companhia.

As origens internas ou externas, relacionadas às estratégias e aos objetivos de negócio da

Companhia são mapeadas e monitoradas para assegurar que quaisquer materializações que venham

a ocorrer sejam conhecidas e geridas em um nível aceitável.

A AGR deverá ser atualizada periodicamente (a cada 2 anos, no máximo), a fim de identificar

possíveis alterações no ambiente de negócios que possam afetar o atendimento aos objetivos de

negócio. Quaisquer mudanças identificadas devem ser registradas no documento de análise de

riscos corporativos da Companhia, conforme metodologia detalhada no tópico seguinte.

A análise Geral dos Riscos corporativos é composta pelos seguintes componentes:

5.4.1.2 Dicionário de riscos

O Dicionário de Riscos Corporativos classifica e categoriza os riscos em uma linguagem comum,

considerando as características e o ambiente de negócio da empresa.

O Dicionário de Riscos Corporativos da COPERGÁS contempla informações segregadas em quatro

principais temas, quais sejam:

Estratégico

Financeiro

Operacional

Legal


MGR-001 1 21/55





Cada tema está segregado em grupos e em cada grupo estão as categorias de riscos pertinentes à

COPERGÁS.

Figura 5 Legenda do dicionário de riscos


O universo de riscos aplicáveis à COPERGÁS está segmentado da seguinte forma:

Figura 6 Dicionário de riscos


O detalhamento contendo a definição de cada categoria encontra-se no Anexo II – Dicionário de

riscos.

Cabe a Área de Governança, Conformidade e Riscos atualizar o dicionário de riscos sempre que seja

identificado um novo risco que não possui vínculo à uma categoria existente.

5.4.1.3 Modelo de Classificação de Macroprocesso (MCP)

O MCP é utilizado para categorizar os macroprocessos-chave da Companhia e auxiliá-la na

padronização e priorização dos controles necessários para mitigação dos riscos associados. No caso

da COPERGÁS, a existência da Cadeia de Valor desenhada possibilitou a utilização desse

instrumento como MCP.

As origens de risco identificadas são vinculadas aos macroprocessos existentes na Companhia.

Dessa forma, caso sejam identificados novos processos ou realizadas novas auditorias em

processos, o modelo é atualizado.


MGR-001 1 22/55





Os macroprocessos da COPERGÁS estão segmentados nas seguintes camadas da Cadeia de Valor:

− Macroprocessos Finalísticos: refletem a atividade fim da Companhia (Core business).

− Macroprocessos de Apoio: suportam diretamente a execução dos macroprocessos

finalísticos, permitindo a gestão adequado dos aspectos mais relevantes e que impactam

diretamente a operação da Companhia.

− Macroprocessos Governança e Estratégia: propiciam a gestão estratégica e governança

corporativa da Companhia.

A seguir apresentamos o MCP da COPERGÁS, reflexo da sua Cadeia de Valor:

Figura 7 Modelo de Classificação de Macroprocessos (MCP)



MGR-001 1 23/55





5.4.1.4 Identificação de eventos

Para identificar eventos, a Área de Governança, Conformidade e Riscos utilizará os seguintes meios:

Ferramentas de análise de risco;

Entrevistas com a alta administração e com gestores indicados pela Diretoria Executiva;

Utilização de questionários específicos para os principais executivos e gestores indicados;

Avaliação dos resultados de indicadores de riscos monitorados;

Resultados de trabalhos de auditorias, interna e externa;

Resultados de trabalhos de compliance;

Resultados de trabalhos de mapeamento de riscos e controles.

Para execução dessa fase, a Área de Governança, Conformidade e Riscos deve utilizar roteiro

entrevista como ferramenta específica para coleta de informações, considerando as categorias de

risco pertinentes à área do executivo avaliado, além de perguntas aplicáveis à toda a Companhia, a

fim de identificar novas origens, atualizar o status das já existentes, bem como identificar ações que

estão sendo tomadas para mitigação do risco.

Paralelamente, pode ser aplicada a coleta de dados e informações através de questionários com o

propósito de levantamento de atenuantes e agravantes dos riscos junto aos executivos indicados

pela Alta Administração.

Em ambas abordagens (entrevista e questionário), nesta etapa, será capturada a percepção de cada

executivo acerca dos controles (vulnerabilidade – atenuantes e agravantes) e relevância (impacto)

sobre cada risco de negócio.

A Área de Governança, Conformidade e Riscos deve compilar os resultados definidos, consolidando

as origens correlacionadas aos riscos de negócio provenientes das entrevistas e das ferramentas

usadas (questionário), cadastrando as informações na base de documentação e controle dos riscos e

classificando as informações apontadas enquanto atenuante ou agravante para cada categoria de

risco.

5.4.1.5 Mapa de riscos

O mapa de riscos demonstra a exposição de cada risco, ou seja, sua classificação conforme impacto

e vulnerabilidade, considerando a percepção dos executivos da Companhia, com base nas principais

conclusões sobre o grau de severidade (indicador de impacto) e grau de eficácia dos controles

(indicador de vulnerabilidade) em operação na Companhia.

O grau de exposição deverá ser graduado em quatro níveis, definidos com base no impacto e na

vulnerabilidade, utilizando-se da escala a seguir:


MGR-001 1 24/55





Figura 8 Mapa de riscos


O enquadramento da exposição ao risco se refere à extensão à qual a Companhia está exposta ou

desprotegida em relação aos impactos negativos após avaliação dos controles existentes.

5.4.1.6 Critérios para avaliação do nível de exposição do risco

5.4.1.6.1 Avaliação do impacto

Na dimensão de impacto alguns critérios para avaliação qualitativa e quantitativa são postos

como premissas, a saber:


MGR-001 1 25/55





Figura 9 Critérios para avaliação do impacto


O apetite ao risco da Alta Administração foi estabelecido com base em percentuais atrelados à

Receita Operacional Líquida (ROL), conforme coluna “Critérios para avaliação quantitativa” da Figura

8 Critérios para avaliação do impacto. Contudo, o critério e os percentuais podem ser redefinidos

pela Alta Administração e Comitê de Auditoria Estatutário, conforme processo estruturado de

aprovação formal anualmente.

O processo de avaliação de riscos consiste no desenvolvimento das seguintes etapas, que serão

detalhadas em seguida: Figura 10 Processo de avaliação de riscos


A classificação do impacto (Extremo, Alto, Médio ou Baixo) deve partir da definição do tipo de

análise, ou seja, se o impacto será mensurado de forma quantitativa (aplicável quando da

disponibilidade de dados históricos de materialização do risco ou do valor em risco) ou qualitativa

(aplicável quando da indisponibilidade de histórico de materialização ou precisão do valor em risco).

Nesta última perspectiva, é recomendável usar o “pior cenário” (worst case) e o julgamento

profissional para determinar a avaliação sumária do impacto.

Neste sentido, a metodologia para cálculo do impacto considera os seguintes critérios/qualificadores

e pesos, respectivamente, para fins de ponderação:


MGR-001 1 26/55





Figura 11 Metodologia para avaliação de riscos


Caso a categoria de risco seja avaliada exclusivamente de forma qualitativa, dada a

indisponibilidade de histórico de materialização do risco ou do valor em risco, serão ponderados os

pesos das variáveis destacados na Análise Qualitativa da Figura 11, que totalizam 100%.

Já no caso da categoria de risco que dispuser do histórico de materialização ou valor em risco de

forma aderente e concisa, a análise será quantitativa e o valor financeiro será considerado em sua

totalidade para fins de enquadramento na escala de impacto (Baixo, Médio, Alto e Extremo),

conforme definição do apetite ao risco (Vide Figura 9 Critérios para avaliação do impacto).

5.4.1.6.2 Avaliação da vulnerabilidade

No caso da vulnerabilidade, é utilizado o julgamento profissional para determinar a avaliação

sumária dessa dimensão, considerando aspectos tais como:

Eficácia do controle: A eficácia de capacidades existentes para gestão do risco. Inclui

fatores pessoais, tais como, ambiente ético, pressões para alcançar objetivos, competência,

adequação e integridade dos julgamentos das pessoas e da gerência. Processos incluem

adequação e eficiência dos controles internos e o grau de informações dos sistemas

corporativos;

Resposta à experiência prévia de risco: A ação corretiva eficiente deve ser tomada após

a experiência prévia de risco. A falta de resposta eficaz às experiências prévias de risco

aumenta a vulnerabilidade;

Complexidade ou volatilidade das atividades: O número de fatores e volatilidades

inter-relacionados de aspectos como pessoas, processos, sistemas e unidades de negócios,

incluindo dispersão geográfica de operações. A complexidade elevada aumenta a

vulnerabilidade;

Nível de alteração nos processos (crescimento/contração): Mudanças recentes ou

futuras em pessoas chave, na estrutura organizacional, nos processos, nos sistemas, no

modelo de negócios ou na infraestrutura potencializam a vulnerabilidade;

Condições externas: Volatilidade de condições competitivas, financeiras e econômicas.

Alta volatilidade aumenta a vulnerabilidade.

A análise da vulnerabilidade, relativa ao nível de exposição ao risco, considerando a percepção dos

executivos, o histórico de ocorrência, grau de implementação dos planos de ação, a atual estrutura

de controles da COPERGÁS e o julgamento profissional, embasam a classificação dos riscos na

dimensão da vulnerabilidade conforme a seguinte escala:


MGR-001 1 27/55





Figura 22 Critérios para avaliação da vulnerabilidade


Neste sentido, é atribuída a classificação da vulnerabilidade (Extrema, Alta, Média ou Baixa), com

base no grau de confiança combinada para todos os controles associados ao risco, utilizando as

definições da Figura 12.

5.4.1.7 Critérios para avaliação de riscos nos processos

O processo de avaliação de riscos nos processos consiste no desenvolvimento das seguintes

etapas, que serão detalhadas em seguida:

Figura 13 Processo de avaliação de riscos nos processos


Para a priorização dos processos, utilizamos os seguintes critérios/qualificadores:

Figura 143 Metodologia para avaliação de riscos nos processos


Caso o processo seja avaliado de forma exclusivamente qualitativa, quando da indisponibilidade

de dados quantitativos, serão ponderados apenas os pesos de “Avaliação dos riscos no processo” e

“Complexidade do processo”, que totalizam 100%.


MGR-001 1 28/55





Caso o processo seja avaliado de forma qualitativa e quantitativa, serão ponderados os pesos

conforme figura 14, relativo aos respectivos critérios, que totalizam 100% e incorpora o critério do

Valor (R$) financeiro envolvido.

Abaixo segue breve descrição do que representa cada critério:

Avaliação dos riscos do processo: grau de risco do processo, considerando o

entendimento dos executivos entrevistados e respondentes dos questionários, refletida na

análise geral de riscos (AGR).

Valor financeiro envolvido: volume financeiro envolvido para quantificação do processo.

Complexidade do processo: nível de esforço organizacional/controle para execução e

gestão do processo analisado, considerando:

− Sistemas envolvidos;

− Áreas envolvidas.

Pode-se ainda no futuro utilizar um quarto critério: Plano de Ação, que se refere à quantidade de

recomendações implementadas e não implementadas, referente aos resultados dos ciclos de

auditoria interna ou de outros projetos de revisão de processos ou controles internos que geraram

recomendações para fortalecimento das linhas de defesa da Companhia.


MGR-001 1 29/55





5.4.2. ETAPA DE RESPOSTA E MENSURAÇÃO DE RISCOS (TRATAMENTO DE RISCOS)

5.4.2.1 Definir o agente de Gestão de Riscos (colaboradores chave)

Para a definição de indicadores de riscos, a Área de Governança, Conformidade e Riscos, em

conjunto com a Diretoria (“Process Owner”) envolvida nos principais processos afetados pelo risco,

devem definir os agentes de Gestão de Riscos (“Risk Owner”).

Os indicadores de risco são definidos para cada risco, no âmbito das áreas envolvidas e,

periodicamente, acompanhados pelos agentes supracitados.

Os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos, são responsáveis por

definir ações para mitigação dos riscos.

5.4.2.2 Definir resposta aos riscos

O objetivo dessa etapa é definir planos de ação com base na avaliação dos controles utilizados para

gerenciamento do risco, priorizando os planos relacionados aos riscos mais críticos através da

alocação eficiente dos recursos e cumprimento dos prazos exigidos.

Com base nos resultados da avaliação dos riscos prioritários, o Comitê de Auditoria Estatutário deve

aprovar o tratamento a ser dado ao risco, os quais podem ser: evitar, transferir, reduzir ou aceitar.

Caso a opção seja aceitar o risco, devem ser estabelecidas métricas de monitoramento deste. Caso

o tratamento escolhido para o risco seja reduzir, são definidos planos de ação para mitigar o nível

de exposição.

As atividades que compõem a etapa de resposta ao risco são subdivididas nas seguintes seções:

Definir estratégias para gerenciamento de riscos;

Elaborar os planos de ação;

Priorizar as deficiências encontradas.

5.4.2.3 Definir estratégias para gerenciamento de riscos

A Área de Governança, Conformidade e Riscos deve discutir com o gestor do processo/área a

estratégia para gerenciamento do risco residual (resposta ao risco) levando em consideração o

impacto, a vulnerabilidade, a tolerância da alta administração e o custo-benefício. Atentar para o

fato de que sempre existirá um nível residual de risco, não apenas por causa da limitação de

recursos, mas também por causa das incertezas futuras e limitações inerentes da estrutura de

controle.

Obter a aprovação do Comitê de Auditoria Estatutário a respeito das estratégias para gerenciamento

do risco, acordadas com os gestores dos processos.

Registrar a estratégia definida em conjunto com o gestor do processo no Sistema de Gestão de

Riscos, considerando:

Modificar o nível de exposição por meio de plano de ação, conforme estratégia de resposta

adotada: evitar, transferir, reduzir e/ou aceitar o risco;

Assumir o risco e monitorá-lo dentro do limite de exposição aceitável, com ou sem a

utilização de Indicadores de Risco – KRI.

Produtos Gerados:

Estratégia para gerenciamento de risco.


MGR-001 1 30/55





5.4.2.4 Elaborar os planos de ação

Os responsáveis da Diretoria (“Process Owners”), com o suporte dos agentes de Gestão de Riscos

(“Risk Owners”), devem elaborar planos de ação como resposta ao risco do processo relativo aos

controles que, na etapa de avaliação e teste de controles, foram classificados com grau de confiança

insuficiente.

Os tipos de deficiências resultantes dos testes de controles e da avaliação de controles são:

Deficiências de controle: falhas que podem afetar adversamente a capacidade da

Companhia para iniciar, autorizar, registrar, processar, consolidar e reportar dados

financeiros e não financeiros precisos.

Deficiências significativas/condição reportável: deficiências reportadas ao Comitê de

Auditoria Estatutário em razão da relevância da falha no desenho ou na operação de

controles internos, podendo afetar a capacidade da companhia de iniciar, autorizar,

registrar, processar, consolidar e reportar dados financeiros e não financeiros precisos.

Fraqueza material/condição reportável: o desenho ou a operação de um ou mais

componentes dos controles internos expõe a Companhia à possibilidade de erros monetários

ou fraude de valores materiais em relação às demonstrações financeiras. Os planos de ação

correspondentes devem ter prioridade na implementação.

De acordo com o resultado da avaliação e teste, deve-se dar prioridade ao plano de ação conforme

abaixo:

Baixa: deficiência de controle, podendo o controle não ser efetivo ou não existir;

Média: deficiência significativa, podendo o controle não ser efetivo ou não existir;

Alta: fraqueza material caracterizado por um controle chave não efetivo ou não existente;

Além da priorização, o plano de ação deve conter as seguintes informações:

Recomendação: melhoria a ser implementada;

Data-limite: prazo para implantação da recomendação;

Responsável: indicar o responsável pelo plano de ação;

Área responsável: indicar área responsável pelo plano de ação.

A Área de Governança, Conformidade e Riscos deve validar os aspectos identificados e definir

juntamente ao responsável primário do risco, o responsável e o prazo de implementação do plano

de ação.

Produtos Gerados:

Planos de Ação.

5.4.2.5 Priorizar as deficiências encontradas

Para priorizar as deficiências encontradas, deve-se:

Avaliar os recursos necessários para a implementação das recomendações (ex.: pessoas,

sistemas e orçamento);

Priorizar as recomendações definidas no plano de ação, considerando a relação entre a

relevância da deficiência encontrada e a facilidade de implementação;


MGR-001 1 31/55





Elaborar um cronograma para implementação de cada recomendação, considerando:

− Prazos acordados no plano de ação;

− Obtenção dos recursos necessários;

− Impacto nas atividades do processo.

Submeter as deficiências priorizadas para análise dos responsáveis pela estrutura de

controles internos da Companhia para validação. Em seguida, a proposta de priorização

deve ser aprovada pelo Comitê de Auditoria Estatutário e Conselho de Administração.

Produtos Gerados:

Priorização das deficiências identificadas.

5.4.2.6 Mensurar e priorizar os riscos a serem monitorados

Para mensurar riscos é necessário realizar a priorização dos principais riscos existentes nos

processos, visando, não apenas a alocação dos recursos de forma mais eficiente, como também

demonstrar os benefícios do processo de monitoramento contínuo para a Companhia.

Caso exista um grande número de riscos identificados, é recomendável priorizar aqueles para os

quais serão desenvolvidos indicadores a partir da avaliação do seu impacto e vulnerabilidade de

ocorrência.

De maneira geral, a prática demonstra que começar pelos 10 riscos mais relevantes

(extremo/alto impacto e extrema/alta vulnerabilidade) possibilita desenvolver um conjunto de

indicadores que sejam ao mesmo tempo abrangentes o suficiente para permitir o acompanhamento

dos principais fatores impactantes e específicos o suficiente para possibilitar o seu efetivo

gerenciamento.

Como ponto de partida natural para esse processo, deve-se realizar análise das informações já

existentes sobre os riscos identificados em trabalhos conduzidos pelas áreas de Auditoria interna,

Gestão de Riscos e pelos órgãos reguladores, entre outros.

5.4.2.7 Definir indicadores de riscos (Key Risk Indicator – KRI)

5.4.2.7.1. Definição de KRI e níveis de tolerância

Os indicadores de risco (KRIs) são utilizados para monitorar o grau de exposição do risco.

Não existe um número máximo ou mínimo pré-definido de KRIs e cada risco pode ter um ou mais

indicadores. O KRI deve ser relevante e sensível ao risco que ele está monitorando, ou seja, capaz

de capturar possíveis problemas que estejam ocorrendo, caso seu valor atinja um determinado

limite. Ele deve ser uma medida objetiva, eficiente e preferencialmente quantitativa.

Os níveis de tolerância podem ser:

• Máximo: requer ações que mitiguem o nível de risco;

• Preocupante: indica uma tendência do nível de risco em atingir um nível de tolerância

máxima, alertando o gestor a tomar ações de mitigação do risco;

• Aceitável: indica níveis aceitáveis de risco sem requerimento de ações específicas de

mitigação de risco.

Os indicadores de riscos são associados às áreas responsáveis, de acordo com as especificidades

analisadas, para que ações preventivas ou corretivas possam ser tomadas caso seu resultado


MGR-001 1 32/55





sinalize que o risco se materializou, esteja em vias da ocorrência do evento de risco ou tenha

ultrapassado o limite de tolerância a risco.

Produtos Gerados:

KRIs definidos;

Lista dos riscos que serão monitorados por KRIs.

5.4.2.7.2. Registro e monitoramento de KRIs

Os indicadores de risco (KRIs) devem ser definidos e monitorados por meio do Sistema de Gestão

de Riscos, contemplando o detalhamento dos indicadores e o associando aos riscos que já estão

monitorados.

Nesta etapa, os seguintes itens devem ser considerados para fins de documentação dos KRIs:

• Indicador: referência do indicador;

• Objetivo: descrição do objetivo do indicador;

• Responsável: responsável primário do risco;

• Processos associados: relação de processos associados ao risco;

• Fórmula: fórmula sugerida para o cálculo do indicador;

• Componentes: descrição dos elementos necessários para o cálculo do indicador conforme

apresentado na fórmula;

• Fonte: sistemas ou documentações bases dos componentes;

• Acompanhamento: periodicidade de cálculo do indicador;

• Status: indicação quanto ao status de implementação do indicador, conforme segue: KRI

não implementado ou KRI implementado;

• Limite de tolerância: valores a partir dos quais são justificadas análises sobre as razões

das variações apresentadas;

• Entendimento da variação: descrição das possíveis razões que originaram as variações

no indicador;

• Unidade de medida: representa como o indicador será medido, por exemplo, em valor

percentual (%);

• Resultado: descrição do resultado.

5.4.2.7.3. Mapeamento das fontes de dados e coleta de informações

Uma vez definido como os indicadores que serão documentados, o próximo passo para o

desenvolvimento da matriz de indicadores consiste em priorizar, entre as inúmeras informações

disponíveis na Companhia, aquelas que por sua natureza, relevância e disponibilidade poderão ser

fonte de alimentação dos indicadores de risco.

Eventualmente, o mapeamento da localização dos dados nos sistemas de origem exige o envolvendo

do analista de TI, que possui conhecimento técnico mais avançado acerca dos sistemas da

Companhia. O mapeamento da localização dos dados é fundamental para a posterior implementação

do indicador no Sistema de Gestão de Riscos.

A partir do levantamento das informações disponíveis, inicia-se um processo de análise para

determinar quais informações têm uma relação de causa/ efeito nos riscos a serem acompanhados.


MGR-001 1 33/55





Os dados necessários para cálculo do indicador podem ser obtidos dos sistemas da Companhia de

forma automática ou através de procedimentos alternativos de coleta, a serem definidos e

implementados para cada risco analisado.

É imprescindível a definir a periodicidade e forma de obtenção de dados, sendo preferencial que seja

de forma automatizada (exemplo: geração de query, batches, via arquivos, etc.). Caso os dados

não estejam disponíveis de forma automática, é importante avaliar a melhor forma para registro

manual dos dados (ex. planilhas, arquivos “.txt”, etc.).

5.4.2.7.4. Testes de aderência dos KRIs

O KRI precisa de uma fase de testes para validar seus atributos (principalmente sua fórmula e

periodicidade de cálculo) e, posteriormente, estabelecer limites (níveis de tolerância) que indiquem

a materialização dos riscos, antes de ser colocado em produção.

Neste sentido, faz-se necessário obter os dados para teste do KRI e avaliar se os resultados obtidos

são factíveis, observando:

• Integridade e confiabilidade dos dados, verificando nível de oscilação do resultado no

período analisado e a sensibilidade do indicador ao risco;

• Tempo de processamento do cálculo do indicador, verificando se está adequado ou

está muito acima do esperado;

• Viabilidade de cálculo do indicador, conforme a periodicidade definida.

Após os testes, são procedidos os ajustes necessários no KRI e a análise é repetida até que o

indicador esteja pronto para ser colocado em produção.

A partir dos resultados dos testes, também deve-se definir:

• Limites realísticos para os três níveis de tolerância, de forma que o gestor possua

parâmetros para o monitoramento dos riscos. Os limites não devem ser alterados com

muita frequência, possibilitando o estabelecimento de tendências do KRI;

• Periodicidade e forma de coleta dos dados;

• Ações preventivas ou corretivas que devem ser tomadas, os respectivos responsáveis

e o nível de reporte, quando os KRIs atingirem os limites de cada nível de tolerância;

• A melhor forma de utilizar os resultados dos KRIs, ou seja, se o número deverá ser

comparado a séries históricas existentes ou a um padrão preestabelecido ou se deve oscilar

dentro de um intervalo predefinido;

• Como a análise poderá ser decomposta (exemplos: por produto, área de negócio,

período, funcionário, etc.).

5.4.2.7.5. Mensuração do KRI

O objetivo desta etapa é obter os dados para cálculo dos KRIs.

As atividades que compõe a etapa de mensuração são subdivididas nas seguintes categorias:

Capturar dados automaticamente;

Registrar dados manualmente.

5.4.2.7.5.1. Capturar dados automaticamente


MGR-001 1 34/55





Inicialmente, é realizada a verificação e certificação de que todos os dados necessários para efetivar

a carga para cálculo dos KRIs estão disponíveis e, em seguida, executado o procedimento para

captura automática de cada indicador, de acordo com a respectiva periodicidade de coleta.

Após o cálculo automático, é verificado se não ocorreu problemas na captura automática dos dados,

por exemplo, por meio de relatórios de críticas.

5.4.2.7.5.2. Registrar dados manualmente

Após a obtenção dos dados do KRI, deve-se alimentar as planilhas, em Excel, específicas para

inclusão/importação dos dados no Sistema de Gestão de Riscos, de acordo com a periodicidade

específica definida.

Produtos Gerados:

Atualização do sistema com as informações para cálculo dos KRIs.

5.4.2.7.6. Análise de resultados e reporte dos KRIs

Após a implantação em produção e realização do cálculo do indicador, deve-se analisar o resultado

da avaliação de riscos do processo e identificar aqueles que apresentarem grau de exposição

extrema/ alta ou perdas relevantes materializadas. Para cada indicador, devem ser estabelecidos os

seguintes aspectos:

Ações preventivas ou corretivas que devem ser tomadas;

Os respectivos responsáveis e o nível de reporte, quando os indicadores atingirem os limites

de cada nível de tolerância;

Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, período,

colaborador, etc.).

A Área de Governança, Conformidade e Riscos deve definir, junto ao agente de Gestão de Riscos

responsável pelo indicador, a periodicidade com que esse deve ser revisado (pelo menos

anualmente), para que as alterações que se fizerem necessárias nos processos, nos produtos, nos

controles, nos sistemas e nos próprios riscos sejam refletidas.

Periodicamente, os resultados dos indicadores são reportados para a Diretoria, conforme frequência

estabelecida para cada risco e ao Comitê de Auditoria Estatutário e Conselho de Administração, de

acordo com os respectivos calendários de reuniões. O reporte deve ser realizado através de

relatórios que serão utilizados para acompanhamento contendo informações apresentadas de forma

gráfica, com tendência do indicador (de alta, estável, baixa), a evolução histórica do indicador e,

opcionalmente, utilização de mais de uma opção de visualização.

Caso o nível de tolerância definido para o risco seja excedido, devem ser definidos planos de ação

para tratamento do risco, considerando o resultado do indicador reportado pelo agente de Gestão de

Riscos e Área de Governança, Conformidade e Riscos.

Os responsáveis pela elaboração do plano de ação são os agentes de Gestão de Riscos, com o

suporte dos Diretores envolvidos nos processos associados ao risco e da Área de Governança,

Conformidade e Riscos.

Produtos Gerados:

Relatório de monitoramento dos KRIs;

Periodicidade de revisão dos indicadores.


MGR-001 1 35/55





5.4.2.8 Estabelecer níveis tolerância e apetite ao risco

Os níveis de apetite a risco devem ser sugeridos pela Diretoria e agentes de Gestão de Riscos, sendo

apreciados pelo Comitê de Auditoria Estatutário e aprovados pelo Conselho de Administração,

considerando a característica de cada indicador. O nível de tolerância é definido individualmente

para cada risco.

Podem ser utilizadas informações já existentes na Companhia como, por exemplo, a materialidade

ou impacto nos resultados. Com base na definição do apetite ao risco, devem ser aplicados os níveis

de tolerância a cada risco encontrado.

5.4.3. ETAPA DE MONITORAMENTO CONTÍNUO E REPORTE DOS RISCOS

Para que o gerenciamento de riscos seja efetivo, a Área de Governança, Conformidade e Riscos deve

realizar o monitoramento das atividades realizadas para mitigar os riscos.

As atividades que compõem essa etapa são subdivididas nas seguintes seções:

Acompanhar e atualizar o status de implementação dos planos de ação;

Emitir relatório de Gestão de Riscos.

5.4.3.1 Acompanhar e atualizar o status de implementação dos planos de ação

A Área de Governança, Conformidade e Riscos deve definir a periodicidade com que será realizado o

acompanhamento dos planos de ação, contatar o responsável pela implementação e questionar, de

acordo com a prazo estabelecido, sobre o status das atividades.

O status das ações (percentual de implementação) deve ser atualizado no Sistema de Gestão de

Riscos. Deve ser procedida a análise do percentual de implementação dos planos de ação em

relação aos prazos acordados para conclusão. Caso não seja possível implementá-los dentro dos

prazos acordados, deve-se verificar as justificativas pelo não cumprimento e definir, em conjunto

com o responsável uma nova data para conclusão da implantação.

O novo prazo deve ser validado para implementação do plano de ação com o gestor do

processo/área e, em seguida, deve ser registrado no Sistema Gestão de Riscos, adicionando as

justificativas, agrupadas por categorias (em campo comentário), por exemplo:

• Falta de recursos;

• Prazo subestimado;

• Alteração nos sistemas;

• Mudança de estratégia.

Produtos Gerados:

Status do Plano de Ação.

5.4.3.2 Emitir relatório de Gestão de Riscos

As informações pertinentes à Área de Governança, Conformidade e Riscos serão periodicamente

reportadas à Alta Administração e conterão, ao menos:

Mapa de riscos;

Resumo dos riscos prioritários e suas avaliações finais;


MGR-001 1 36/55





Resumo das principais deficiências de controle;

Resultados dos indicadores de riscos e perdas materializadas;

Resumo do status dos planos de ação;

Responsáveis pela implementação dos planos de ação.

5.4.3.3 Emitir relatório de Controles Internos

Os relatórios de controles internos da COPERGÁS serão emitidos periodicamente, contemplando o

resultado do monitoramento de cada macroprocesso definido no MCP. As informações a serem

reportadas devem contemplar:

• Mapa de riscos;

• Resumo dos riscos associados aos macroprocessos e suas respectivas avaliações finais;

• Resumo das principais deficiências de controle (deficiências significantes e fraquezas

materiais);

• Histórico de perdas associadas a cada risco;

• Resumo dos planos de ação.

Esses relatórios serão submetidos a revisão do Comitê de Auditoria Estatutário da COPERGÁS.

Produtos Gerados:

Monitoramento de atividades pendentes;

Relatórios pontuais com eventos de risco relevantes.

5.4.3.4 Emitir outros relatórios de acompanhamento dos gestores

Relatórios específicos e pontuais devem ser estruturados e enviados tempestivamente aos gestores

e Comitê de Auditoria Estatutário, com objetivo de acompanhar o andamento das atividades de auto

avaliação, testes e status de implementação, bem como a ocorrência de eventos de risco relevantes.

Para tal, é deve ser definida uma escala de reporte conforme período em que determinadas

atividades estão em atraso. Por exemplo:

• 30 dias após o vencimento do prazo: reiteração ao destinatário original;

• 45 dias após o vencimento do prazo: reiteração ao destinatário original, com cópia para

o superior;

• 60 dias após o vencimento do prazo: reiteração ao superior, com cópia aos destinatários

anteriormente cobrados;

• 75 dias após o vencimento do prazo: cobrança direta à Diretoria Executiva da área

envolvida;

• 90 dias após o vencimento do prazo: comunicação ao Comitê de Auditoria Estatutário da

COPERGÁS.

Produtos Gerados:

Monitoramento de atividades pendentes;

Relatórios pontuais com eventos de risco relevantes.


MGR-001 1 37/55





Figura 16 COSO® ERM – Internal Environment

5.5. Metodologias

5.5.1. COSO® ERM

A estrutura do COSO® ERM define que a

implementação de uma estrutura de controles

internos deve contemplar oito componentes

inter-relacionados, considerando todas

unidades, processos, subprocessos e

atividades da Companhia.

Esses oito componentes direcionam a forma

como a Companhia pode elaborar o desenho,

a implementação e a manutenção de sua

estrutura de controles internos, contemplando

quatro objetivos principais, a saber:

Agregar valor aos acionistas através

de objetivos ESTRATÉGICOS

alinhados à missão/ visão da

Companhia;

Promover a eficácia e eficiência

OPERACIONAIS;

Assegurar a confiabilidade dos

RELATÓRIOS FINANCEIROS;

Manter CONFORMIDADE com as leis e

regulamentações vigentes.

A figura 15 representa ilustração da estrutura

do COSO® ERM com seus oito componentes

associados aos objetivos (Estratégicos,

Operacionais, Relatórios Financeiros e

Conformidade) e às unidades/divisões da

Companhia:

Fonte: COSO© ERM.

Apresentamos, a seguir, um detalhamento dos

principais aspectos relacionados a cada um

dos componentes do COSO:

5.5.1.1 Ambiente de Controles

Fonte: COSO© ERM.

A visão da Companhia determina a cultura de

seus colaboradores no tratamento de aspectos

relacionados à sua estrutura de controles

internos, influenciando a manutenção de uma

estrutura eficiente e alinhada com os objetivos

e riscos desta.

O comprometimento e a participação do

Conselho de Administração são fundamentais

para o sucesso da gestão de risco.

O ambiente de controles é a base para todos

os outros componentes da estrutura de

controles, estabelecendo o desenho, o

gerenciamento, o monitoramento e a

disciplina dos colaboradores, em relação à

estrutura de controles internos.

Os fatores relacionados à definição do

ambiente de controles/negócios contemplam:

Filosofia de Gestão de Riscos:

disseminação da filosofia da gestão de riscos

de maneira clara e para todos os empregados

da Companhia. É importante que a Alta

Administração demonstre continuamente a

preocupação com o gerenciamento de riscos.

Apetite ao risco: exposição ao risco que a

Companhia está disposta a aceitar para atingir

suas metas, objetivos e geração de valor,

Figura 15 COSO® ERM – International Integrated Framework


MGR-001 1 38/55





Figura 47 COSO® ERM – Objective Setting

estando diretamente relacionada com a sua

estratégia.

Cultura sobre riscos: práticas, valores e

atitudes que caracterizam a forma como a

Companhia aborda os riscos em suas

atividades diárias.

Integridade e valores éticos: Alta

Administração da Companhia atua como

modelo de ética para seus colaboradores,

clientes, fornecedores, investidores e público

em geral, além do estabelecimento de

políticas e códigos de ética, de maneira a

formalizar e comunicar esses valores éticos

aos empregados.

Comprometimento com a competência:

definição formal das atribuições e

responsabilidades dos empregados

devidamente associadas à descrição dos

conhecimentos e habilidades necessários para

execução das atividades da Companhia.

Conselho de Administração e Comitê de

Auditoria Estatutário: Conselho de

Administração e Comitê de Auditoria

Estatutário independentes, atuando de forma

integrada com os auditores internos e

externos, a fim de possibilitar avaliações e

julgamentos imparciais sobre as questões

mais significativas da Companhia.

Filosofia e estilo de gestão: perfil da Alta

Administração perante os riscos, os princípios

contábeis adotados e as decisões operacionais

na Companhia.

Estrutura organizacional: adequação da

estrutura às operações da Companhia,

garantindo inclusive o bom fluxo de

informações e a atuação dos elementos de

monitoramento da estrutura de controles.

Autoridade e responsabilidade: definição

dos limites de autoridade, considerando a

adequação dos aspectos de responsabilidade

em relação à autoridade dos empregados.

Políticas e Procedimentos de recursos

humanos: práticas que indiretamente

direcionam os empregados quanto aos níveis

esperados de seu comportamento,

considerando os aspectos de integridade, ética

e competência. Essas práticas abrangem as

políticas e os procedimentos de contratação,

treinamento, avaliação de desempenho,

promoção e remuneração dos colaboradores.

O ambiente de controle deficiente pode

incapacitar toda a estrutura de controles

internos da Companhia, pois mesmo que os

demais componentes da estrutura tenham

sido, conceitualmente, bem implementados,

somente uma cultura organizacional focada

nos aspectos de controle irá determinar a

utilização eficiente dessa estrutura.

5.5.1.2 Definição dos Objetivos

Fonte: COSO© ERM.

As organizações, em todos os seus níveis,

enfrentam riscos internos e externos que

ameaçam a capacidade de competição, a

saúde financeira, a imagem e a manutenção

da qualidade de seus produtos, serviços e

empregados.

O estabelecimento de objetivos internamente

consistentes e em linha com os diferentes

níveis da Companhia é fundamental para a

efetiva identificação de eventos, a avaliação e

o posicionamento com relação aos riscos.

Os objetivos são definidos pela Alta

Administração em linha com a missão, a visão

e o apetite ao risco da Companhia, o qual

direciona o nível de tolerância a eles em suas

atividades.

A gestão de riscos deve assegurar que os

gerentes possuam um processo para definir e

alinhar os seus objetivos em consonância com


MGR-001 1 39/55





Figura 18 COSO® ERM – Event Identification

Figura 19 COSO® ERM – Risk Assessment

a missão/visão da Companhia e que esteja

respeitando a exposição/apetite a risco.

Os objetivos da Companhia podem ser

classificados em quatro categorias, conforme

segue:

Estratégico: principais metas e alinhado à

missão/ visão da Companhia. Os objetivos

estratégicos refletem a escolha da

administração em como a Companhia

trabalhará para criar valor aos seus

acionistas.

Operacional: eficiência e efetividade das

operações da Companhia, incluindo metas de

desempenho e de rentabilidade. A estrutura

dos objetivos operacionais varia em virtude

das escolhas da administração.

Reporte de Informações: efetividade da

Companhia em reportar informações interna

ou externamente, sejam elas, financeiras ou

não financeiras, considerando a política da

transparência para com o mercado e

acionistas.

Compliance (Conformidade): aderência da

Companhia às leis e regulamentações

aplicáveis à sua operação. Os objetivos

dependem de fatores externos e tendem a ser

similares em organizações que atuam no

mesmo ramo.

5.5.1.3 Identificação de Eventos

Fonte: COSO© ERM.

A Alta Administração deve identificar

potenciais eventos que possam afetar a

habilidade da Companhia em implementar

suas estratégias e atingir seus objetivos com

sucesso.

Nessa identificação devem ser considerados os

fatores externos (econômicos, de negócio,

ambientais, políticos, sociais e tecnológicos) e

internos (infraestrutura, funcionários,

processos e tecnologia).

A metodologia para identificação de eventos

(passados e prováveis) adotada pela

Companhia deve contemplar uma combinação

de técnicas e ferramentas de suporte.

Como exemplo de eventos passados temos:

• Mudanças nos preços das commodities;

• Histórico de oscilações cambiais que

impactam no negócio;

• Perda de tempo com imprevistos.

Como exemplo de prováveis eventos futuros

temos:

• Mudanças demográficas;

• Novos mercados;

• Ações dos concorrentes.

Os eventos devem ser agrupados em

categorias (horizontalmente na Companhia e

verticalmente nas unidades operacionais)

permitindo à Alta Administração desenvolver

uma melhor compreensão do inter-

relacionamento entre os diferentes eventos e

possibilitando a coleta de informações mais

completas e precisas que serão utilizadas

como base para avaliação de riscos.

5.5.1.4 Avaliação de Riscos


MGR-001 1 40/55





Figura 20 COSO® ERM – Risk Response

Fonte: COSO© ERM. Identificação e análise dos riscos relevantes

que comprometam o atendimento dos

objetivos da Companhia, formando uma base

para determinar como os riscos devem ser

gerenciados.

A Alta Administração deve avaliar os eventos

pelo seu impacto e probabilidade de

ocorrência e utilizar metodologias de

mensuração quantitativa e qualitativa.

O processo de análise geral de riscos é

dinâmico, interativo e frequentemente

integrado ao processo de planejamento

estratégico da Companhia, e sua elaboração

deve considerar os seguintes aspectos:

Identificação dos Riscos: mapeamento dos

riscos inerentes, nos níveis estratégicos e

operacionais, através da identificação da

exposição da Companhia aos fatores de riscos

internos e externos.

Análise de Riscos: estimativa dos impactos

dos riscos e probabilidade de sua ocorrência

na Companhia, além de avaliações quanto a

forma de gerenciamento dos riscos, ações

necessárias para sua redução e respectivo

custo dessas ações. Esta análise deve

contemplar a avaliação dos riscos residuais e

inerentes às atividades.

Gestão de Mudanças: alterações na

estrutura interna, na indústria, no cenário

econômico ou em outros elementos externos

podem alterar a exposição da Companhia aos

riscos; assim, essas mudanças devem ser

continuamente monitoradas para que seus

impactos sejam identificados e endereçados

dentro da análise de riscos da Companhia.

A eliminação total dos riscos é, na prática,

impossível, pois a própria existência da

Companhia é um fator gerador de riscos.

Nesse contexto, a análise geral de riscos

fornece um mapa dos riscos da Companhia,

proporcionando um mecanismo para

priorização destes e, consequentemente, uma

ferramenta de direcionamento dos esforços

para minimizar os riscos mais significativos

através de uma estrutura de controles

internos alinhada aos riscos da Companhia.

5.5.1.5 Resposta ao Risco

Fonte: COSO© ERM.

A

Alta Administração determina seu

posicionamento (resposta) com relação ao

risco, considerando seus efeitos (impacto e

probabilidade do evento), nível de tolerância e

custo-benefício.

Existem quatro categorias de resposta aos

riscos:

Evitar: ações para evitar atividades que

aumentem a probabilidade de ocorrência do

risco.

Reduzir: ações tomadas para minimizar a

probabilidade e/ou o impacto do risco.

Compartilhar/Transferir: atividades que

visam reduzir o impacto e/ou a probabilidade

de ocorrência do risco através da transferência

ou, em alguns casos, do compartilhamento de

uma parte do risco.

Aceitar: nenhuma ação é tomada que afete o

impacto e/ou a probabilidade de ocorrência do

risco.

Como parte do gerenciamento do risco, a

Companhia terá uma resposta específica para

cada risco significante, devendo reavaliá-lo

com base em sua classificação residual.

A Alta Administração deve buscar uma

sinergia com os gerentes responsáveis pelos

departamentos, funções e unidades de

negócios, orientando-os a avaliar os riscos e


MGR-001 1 41/55





Figura 21 COSO® ERM – Control Activities

mostrando as suas atribuições e

responsabilidades no gerenciamento dos

riscos.

A Alta Administração deve reconhecer que

sempre existirá um nível residual de risco, não

apenas por causa da limitação de recursos,

mas também por causa das incertezas futuras

e limitações inerentes a todas as atividades.

5.5.1.6 Atividades de Controle

Fonte: COSO© ERM.

Políticas e procedimentos elaborados para

assegurar que as diretrizes e os objetivos

definidos pela Companhia, para minimizar

seus riscos, estão sendo observados nas

atividades executadas pelos empregados.

As atividades de controle ocorrem em todos os

níveis da Companhia e abrangem atividades

como aprovações, autorizações, verificações,

reconciliações, revisões de desempenho

operacional, segurança de ativos e segregação

de funções.

Os principais tipos de atividades de controle

são:

Revisões Estratégicas: incluem análise

comparativa dos resultados realizados com

orçamentos, previsões, dados históricos e

concorrência;

Revisões Operacionais: análise de relatórios

verificando consolidações realizadas,

tendências, conformidade de relatórios para

órgãos reguladores, etc.;

Processamento de Informações: controles

que asseguram os dados dos sistemas

aplicados quanto à exatidão, integridade,

totalidade e autorização das transações

realizadas;

Controles Físicos: contagens periódicas e

comparações com os registros de controle de

inventários, ativos fixos, valores em espécie e

outros ativos;

Indicadores de Desempenho: dados para

direcionar ações operacionais e estratégicas

utilizados na identificação de falhas de

processos e controles;

Segregação de Funções: divisão ou

segregação das atividades entre diferentes

colaboradores criando pontos de checagem e

evitando a propagação de erros no processo.

Apesar da grande variedade de formas de

atividades de controle, todas são baseadas em

dois elementos principais:

Políticas: estabelecem quais ações devem ser

executadas; e

Procedimentos: apresentam como são

executadas essas ações. As políticas e,

principalmente, os procedimentos, devem ser

reavaliados sempre que ocorram mudanças

significativas na estrutura da Companhia, em

seus processos, sistemas, modelo de negócio

e ambiente regulatório.

O desenho das atividades de controle deve

refletir a priorização dos riscos e sua eficácia

avaliada continuamente, através de ações de

monitoramento, para garantir que os riscos

estão sendo efetivamente minimizados.


MGR-001 1 42/55





Figura 5 COSO® ERM – Information & Communication

2222

5.5.1.7 Informação e Comunicação

Fonte: COSO© ERM.

São as práticas utilizadas pela Companhia

para capturar e comunicar as informações

pertinentes, em formato e prazo que

possibilitem a execução das responsabilidades

dos colaboradores.

Informação é necessária em todos os níveis da

Companhia para a execução das atividades e o

atendimento aos objetivos do negócio. Os

sistemas de informação capturam, processam

e reportam a informação, considerando

atividades e eventos internos e externos à

empresa, os quais são necessários aos

processos operacionais, bem como para

tomada de decisão e emissão de relatórios

externos.

Dessa forma, as práticas de controle sobre os

sistemas de informação devem garantir os

seguintes aspectos:

Relevância: o conteúdo da informação é

apropriado e relevante ao pessoal que a

utiliza.

Disponibilidade e Acesso: a informação

está disponível quando necessária e somente

é acessada por pessoal autorizado.

Exatidão: a informação é a mais atual e

correta possível.

A comunicação eficiente também deve fluir em

todos os níveis e em todos os sentidos na

Companhia. Dessa forma, os meios de

comunicação devem estar disponíveis a todos

os colaboradores da empresa, e os canais com

clientes, fornecedores e outros agentes

externos devem ser abertos e eficientes.

Os principais aspectos que devem ser

implementados para garantir a comunicação

eficiente são:

Mecanismos de Divulgação: meios de

disponibilização de informações. As principais

informações que podem ser divulgadas

através desses meios são, entre outras, visão,

missão, políticas, procedimentos,

responsabilidades dos colaboradores,

estrutura organizacional, plano de benefícios,

recrutamento interno e externo e níveis de

alçada.

Ferramentas de Sugestões: mecanismos

para os colaboradores comunicarem suas

ideias para o aprimoramento dos processos

internos e outras informações relevantes.

Canais de Comunicação Externos: meios

de divulgação de informações de interesse

geral ao público, agentes reguladores,

acionistas, etc. Esse aspecto engloba também

os mecanismos de informação com clientes e

fornecedores, como call centers e mecanismos

de B2B e B2C.

Os aspectos de informação e comunicação

dentro da estrutura de controle da Companhia

são a base para que os colaboradores

entendam seu papel dentro dessa estrutura de

controle e tenham disponíveis as informações

necessárias e assertivas para a execução de

suas atividades.


MGR-001 1 43/55





Figura 23 COSO® ERM – Monitoring

5.5.1.8 Monitoramento

Fonte: COSO© ERM.

A estrutura de controles internos sofre

mudanças e evolui com o tempo. Assim, um

controle eficaz em um cenário passado pode

se tornar menos eficaz ou até obsoleto

dependendo das mudanças ocorridas na

Companhia, em sua indústria de atuação ou

no ambiente externo.

Dessa forma, a estrutura de controles internos

deve ser monitorada para avaliar a qualidade

e a atualização dos controles no tempo. Esse

objetivo é atingido com atividades recorrentes

de monitoramento ou procedimentos de

avaliações independentes periódicas, ou,

ainda, uma combinação desses dois

mecanismos.

A frequência dos procedimentos de avaliação

independentes depende de uma análise dos

riscos aplicáveis aos processos, bem como da

eficiência das atividades recorrentes de

monitoramento. Em ambos os casos, as

deficiências dos controles internos devem ser

reportadas tempestivamente à Gerência e,

dependendo do impacto dessas deficiências, à

Alta Administração.

As principais atividades de monitoramento

incluem:

Conciliações: as comparações entre os

valores registrados nos relatórios das áreas

operacionais e os valores apresentados pelos

demonstrativos contábeis fornecem

mecanismos de verificação de erros e

exceções que podem identificar falhas na

estrutura de controles internos da Companhia.

Agentes Externos: as comunicações de

agentes externos (clientes, fornecedores,

órgãos reguladores, instituições financeiras,

etc.), comparadas aos relatórios internos,

podem identificar inconsistências e falhas na

estrutura de controles internos.

Inventário Periódico: os dados dos sistemas

de informação da Companhia são comparados

com contagens físicas periódicas, e a análise

das divergências fornece base para a

identificação de falhas na estrutura de

controle.

Auditores Internos e Externos: as revisões

realizadas pelos auditores identificam

oportunidades de melhoria nos controles

internos da Companhia.

Self-Assessments: as autoavaliações das

áreas operacionais realizadas pelos

empregados que executam as atividades de

controle podem identificar pontos de melhoria

e atualização da estrutura de controles

internos.

Monitoramento contínuo: utilização de

modelos de Value-At-Risk – VAR, Stress-

Testing e análise das variâncias e

comparações para avaliar os impactos das

mudanças do mercado na posição financeira

da Companhia.

Auditoria Interna e Externa: atuação

tempestiva da auditoria interna e externa,

que, através das recomendações de

melhorias, fortalece o processo de

gerenciamento de riscos.

Treinamento e Seminários: atualização

sobre as melhores práticas em gestão de

riscos e demonstração de resultados trazidos

por um processo efetivo de gestão de riscos.

Os aspectos de monitoramento são essenciais

para avaliar a estrutura de controle,

verificando sua eficiência em minimizar a

exposição da Companhia aos seus riscos

internos e externos.


MGR-001 1 44/55





Considerando as características desses oito

componentes, o COSO® define as seguintes

etapas para a implementação da estrutura de

controles:

• Estímulo e disseminação de uma

cultura de controles por toda a

Companhia.

• Definição dos objetivos do negócio em

níveis estratégicos e operacionais.

Nessa definição, o COSO® classifica os

objetivos como:

− Estratégicos (alinhados à

missão/visão da Companhia);

− Operacionais (direcionando a

eficiência das operações e

salvaguarda de ativos);

− Relatórios Financeiros

(direcionando a integridade na

elaboração e divulgação de

informações financeiras); e

− Conformidade (direcionando o

atendimento às leis e

regulamentações aplicáveis).

• Identificação e avaliação dos riscos

que impactam os objetivos definidos.

• Avaliação dos controles, com base nos

riscos identificados, considerando

atividades de controle, de informação/

comunicação e de monitoramento,

identificando oportunidades de

melhorias e incrementando a

estrutura de controle com essas

oportunidades.


MGR-001 1 45/55





5.5.2. ABNT ISO 31000:2009

A Norma Brasileira ISO 31000:2009, trata dos

princípios e diretrizes da Gestão de Riscos. De

acordo com a referida norma o processo de

Gestão de Riscos deve ser parte integrante da

gestão, incorporado na cultura e nas práticas

e adaptado aos processos de negócios da

organização.

A figura a seguir, ilustra as principais etapas

do processo de gestão de riscos:

Figura 64 ISO 31000:2009 – Processo de gestão de riscos

Fonte: ISO 31000:2009. Elaborado por Deloitte©.

5.5.2.1 Comunicação e consulta

Figura 257 ISO 31000:2009 – Comunicação e consulta


A comunicação e consulta devem ser permear

as atividades de todas as fases do processo de

gestão de riscos, envolvendo as partes

interessadas internas e externas. Convém,

contudo, a definição da estratégia e diretrizes

de comunicação e consulta seja desenvolvida

no estágio inicial do processo. A comunicação e consulta, interna e externa,

deve assegurar que os responsáveis pela

implementação do processo de gestão de

riscos e as partes interessadas compreendam

os fundamentos sobre os quais as decisões

são tomadas e as razões pelas quais ações

específicas são requeridas. [ABNT ISO

31000:2009, definição 5.2]

Uma abordagem de equipe consultiva pode:

• Auxiliar a estabelecer o contexto

apropriadamente;

• Assegurar que os interesses das

partes interessadas sejam

compreendidos e considerados;

• Auxiliar a assegurar que os riscos

sejam identificados adequadamente;

• Reunir diferentes áreas de

especialização em conjunto para

análise dos riscos;

• Assegurar que diferentes pontos de

vista sejam devidamente

considerados quando da definição dos

critérios de risco e na avaliação dos

riscos;

• Garantir o aval e o apoio para um

plano de tratamento;

• Aprimorar a gestão de mudanças

durante o processo de gestão de

riscos; e

• Desenvolver um plano apropriado

para comunicação e consulta interna e

externa.


MGR-001 1 46/55





5.5.2.2 Estabelecimento do contexto

Figura 26 ISO 31000:2009 – Estabelecimento do contexto


Ao estabelecer o contexto, a organização

articula seus objetivos, define os parâmetros

externos e internos a serem levados em

consideração ao gerenciar riscos, e estabelece

o escopo e os critérios de risco para o restante

do processo. [ABNT ISO 31000:2009,

definição 5.3]

Entender o contexto externo é importante

para assegurar que os objetivos e as

preocupações das partes interessadas

externas sejam considerados no

desenvolvimento dos critérios de risco. O

contexto externo é baseado no contexto de

toda a organização, porém com detalhes

específicos sobre requisitos legais e

regulatórios, percepções de partes

interessadas e outros aspectos dos riscos

específicos para o escopo do processo de

gestão de riscos. [ABNT ISO 31000:2009,

definição 5.3.2]

Convém que o processo de gestão de riscos

esteja alinhado com a cultura, processos,

estrutura e estratégia da organização. O

contexto interno é algo dentro da

organização que pode influenciar a maneira

pela qual uma organização gerenciará os

riscos. [ABNT ISO 31000:2009, definição

5.3.3]

Quando ao contexto do processo de gestão

de riscos faz-se necessário o estabelecimento

dos objetivos, das estratégias, do escopo e

dos parâmetros das atividades da

organização, ou daquelas partes da

organização em que o processo de gestão de

riscos está sendo aplicado. A gestão dos riscos

deve ser realizada com plena consciência da

necessidade de justificar os recursos

utilizados. Cabe ressaltar que os recursos

requeridos, as responsabilidades e as

autoridades, além dos registros a serem

mantidos, também sejam especificados.

[ABNT ISO 31000:2009, definição 5.3.4]

Por fim, a organização deve definir os

critérios a serem utilizados para avaliar a

significância do risco. Tais critérios devem

refletir os valores, objetivos e recursos da

organização. Alguns podem ser impostos por,

ou derivados de requisitos legais e

regulatórios e outros requisitos que a

organização subscreva. É importante que os

critérios de risco sejam compatíveis com a

política de gestão de riscos da organização,

definidos no início de qualquer processo de

gestão de riscos e analisados criticamente de

forma contínua. [ABNT ISO 31000:2009,

definição 5.3.5]

5.5.2.3 Processo de avaliação de riscos

Figura 278 ISO 31000:2009 – Processo de avaliação de riscos


5.5.2.3.1. Identificação de riscos

A organização deve empenhar esforços na

identificação das fontes de risco, áreas de

impactos, eventos (incluindo mudanças nas

circunstâncias) e suas causas e consequências

potenciais. A finalidade desta etapa é gerar

uma lista abrangente de riscos baseada nestes

eventos que possam criar, aumentar, evitar,

reduzir, acelerar ou atrasar a realização dos

objetivos. É importante identificar os riscos


MGR-001 1 47/55





associados com não perseguir uma

oportunidade. A identificação abrangente é

crítica, pois um risco que não é identificado

nesta fase não será incluído em análises

posteriores. [ABNT ISO 31000:2009, definição

5.4.2]

Convém que a organização aplique

ferramentas e técnicas de identificação de

riscos que sejam adequadas aos seus

objetivos e capacidades e aos riscos

enfrentados. Informações pertinentes e

atualizadas são importantes na identificação

de riscos. É recomendável que sejam incluídas

informações adequadas sobre os fatos por trás

dos acontecimentos, sempre que possível e

que pessoas com um conhecimento adequado

sejam envolvidas na identificação dos riscos.


5.5.2.3.2. Análise de riscos

A análise de riscos envolve desenvolver a

compreensão dos riscos, a fim de fornecer

uma entrada para a avaliação de riscos e para

as decisões sobre a necessidade de os riscos

serem tratados, e sobre as estratégias e

métodos mais adequados de tratamento de

riscos. Adicionalmente, esta análise também

pode fornecer uma entrada para a tomada de

decisões em que escolhas precisam ser feitas

e as opções envolvem diferentes tipos e níveis

de risco. [ABNT ISO 31000:2009, definição

5.4.3]

A condução da análise de riscos envolve a

apreciação das causas e as fontes de risco,

suas consequências positivas e negativas, e a

probabilidade de que essas consequências

possam ocorrer. Vale ressaltar que um evento

pode ter várias consequências e pode afetar

vários objetivos. Convém que os controles

existentes e sua eficácia e eficiência também

sejam levados em consideração. [ABNT ISO

31000:2009, definição 5.4.3]

A confiança na determinação do nível de risco

e sua sensibilidade a condições prévias e

premissas devem ser consideradas na análise

e comunicadas eficazmente para os tomadores

de decisão e, quando apropriado, a outras

partes interessadas. É recomendável que

sejam estabelecidos e ressaltados fatores

como a divergência de opinião entre

especialistas, a incerteza, a disponibilidade, a

qualidade, a quantidade e a contínua

pertinência das informações, ou as limitações

sobre a modelagem. [ABNT ISO 31000:2009,

definição 5.4.3]

A análise de riscos pode ser realizada com

diversos graus de detalhe, dependendo do

risco, da finalidade da análise e das

informações, dados e recursos disponíveis.

Dependendo das circunstâncias, a análise

pode ser qualitativa, semiquantitativa ou

quantitativa, ou uma combinação destas.


5.5.2.3.3. Avaliação de riscos

A finalidade da avaliação de riscos é auxiliar

na tomada de decisões com base nos

resultados da análise de riscos, sobre quais

riscos necessitam de tratamento e a

prioridade para a implementação do

tratamento. Esta etapa, envolve comparar o

nível de risco encontrado durante o processo

de análise com os critérios de risco

estabelecidos quando o contexto foi

considerado. Com base nesta comparação, a

necessidade do tratamento pode ser

considerada. [ABNT ISO 31000:2009,

definição 5.4.4]

Em algumas circunstâncias, a avaliação de

riscos pode levar à decisão de se proceder a

uma análise mais aprofundada, assim como

também pode levar à decisão de não se tratar

o risco de nenhuma outra forma que seja

manter os controles existentes. Esta decisão

será influenciada pela atitude perante o risco

da organização e pelos critérios de risco que

foram estabelecidos. [ABNT ISO 31000:2009,

definição 5.4.4]


MGR-001 1 48/55





5.5.2.4 Tratamento de riscos

Figura 289 ISO 31000:2009 – Tratamento de riscos


O tratamento de riscos envolve a seleção de

uma ou mais opções para modificar os riscos e

a implementação dessas opções. Uma vez

implementado, o tratamento fornece novos

controles ou modifica os existentes. Tratar

riscos envolve um processo cíclico composto

por:

• Avaliação do tratamento de riscos já

realizado;

• Decisão se os níveis de risco residual

são toleráveis;

• Se não forem toleráveis, a definição e

implementação de um novo

tratamento para os riscos; e

• Avaliação da eficácia desse

tratamento.


As opções de tratamento de riscos não são

necessariamente mutuamente exclusivas ou

adequadas em todas as circunstâncias. As

opções podem incluir os seguintes aspectos:

• Ação de evitar o risco ao se decidir

não iniciar ou descontinuar a

atividade que dá origem ao risco;

• Tomada ou aumento do risco na

tentativa de tirar proveito de uma

oportunidade;

• Remoção da fonte de risco;

• Alteração da probabilidade;

• Alteração das consequências;

• Compartilhamento do risco com outra

parte ou partes (incluindo contratos e

financiamento do risco); e

• Retenção do risco por uma decisão

consciente e bem embasada.


5.5.2.5 Monitoramento e análise crítica

Figura 2910 ISO 31000:2009 – Monitoramento e análise crítica


O monitoramento e a análise crítica devem ser

planejados como parte do processo de gestão

de riscos e envolva a checagem ou vigilância

regulares. Podem ser periódicos ou acontecer

em resposta a um fato específico.

Adicionalmente, as responsabilidades relativas

ao monitoramento e à análise crítica devem

estar claramente definidas. [ABNT ISO

31000:2009, definição 5.6]

Os processos de monitoramento e análise

crítica da organização abrange todos os

aspectos do processo da gestão de riscos com

a finalidade de:

• Garantir que os controles sejam

eficazes e eficientes no projeto e na

operação;

• Obter informações adicionais para

melhorar o processo de avaliação dos

riscos;

• Analisar os eventos (incluindo os

“quase incidentes”), mudanças,

tendências, sucessos e fracassos e

aprender com eles;


MGR-001 1 49/55





• Detectar mudanças no contexto

externo e interno, incluindo alterações

nos critérios de risco e no próprio

risco, as quais podem requerer

revisão dos tratamentos dos riscos e

suas prioridades; e

• Identificar os riscos emergentes.

[ABNT ISO 31000:2009, definição

5.6]

O progresso na implementação dos planos de

tratamento de riscos proporciona uma medida

de desempenho. Os resultados podem ser

incorporados na gestão, na mensuração e na

apresentação de informações (tanto externa

quanto internamente) a respeito do

desempenho global da organização. É

recomendável que os resultados do

monitoramento e da análise crítica sejam

registrados e reportados externa e

internamente conforme apropriado, e também

convém que sejam utilizados como entrada

para a análise crítica da estrutura de gestão

de riscos. [ABNT ISO 31000:2009, definição

5.6]


MGR-001 1 50/55





ANEXOS


MGR-001 1 51/55





ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES

A matriz a seguir especifica os papéis e responsabilidades no processo de Gestão de Riscos através

da distribuição das seguintes funções:

As responsabilidades foram divididas entre os seguintes agentes:

• Área de Governança, Conformidade e Riscos

• Gestores das áreas de negócio

• Comitê de Auditoria Estatutário

• Diretoria Executiva

• Conselho de Administração

Grupo de Atividades

Atividade

Responsável

Observação Área de

Governança, Conformidade e Riscos

Gestores de

Negócio

Comitê de

Auditoria Estatutár

io

Diretoria Executiva

Conselho de Administração

PLA

NEJA

MEN

TO

Análise Geral de Riscos

Os ciclos de análise geral de riscos devem ocorrer, a cada 2 anos (pelo menos).

Apetite ao risco

Aprovar o grau de apetite a riscos da Companhia e possíveis alterações.

Avaliação e priorização dos

riscos

A priorização é derivada da análise geral de riscos. Além

dos riscos, devem ser priorizados também os processos a serem mapeados, com seu respectivo orçamento.

Definição dos indicadores para monitoramento

dos riscos prioritários

Os riscos selecionados como prioritários terão indicadores a serem monitorados periodicamente.

R

R

R R

A A

A

A C

A I I

C C

R I

C

C A R


MGR-001 1 52/55





Grupo de Atividades

Atividade

Responsável


Governança,

Conformidade e Riscos

Gestores de

Negócio

Comitê de


io

Diretoria

Executiva

Conselho de

Administração

M

AP

EA

MEN

TO

E P

LA

NO

DE R

ES

PO

STA

S

Mapeamento dos riscos e

execução de trabalhos

específicos nos processos

Eventualmente, o presidente pode ser consultado durante a atividade de monitoramento dos riscos nos processos.

Definição dos planos de

resposta aos riscos com grau

de exposição baixa, média

Os planos de resposta devem contemplar as ações para redução do grau de exposição, a exemplo da implantação de controles internos.

Definição dos planos de

resposta aos riscos com grau

de exposição alta, extrema.

Os planos de resposta poderão ser resultantes de: - Planos de ação

endereçados nos

trabalhos;

- Planos de resposta

aos riscos.

Implantação dos planos de

resposta aos riscos

REP

OR

TES

PER

IÓ

DIC

OS

Reporte dos trabalhos e

status dos riscos com grau de

exposição baixa e média

Os reportes serão realizados, de acordo com o plano anual de mapeamento dos processos ou a partir de trabalhos especiais.

Reporte dos trabalhos e

status dos riscos com grau de

exposição alta ou extrema

Periodicidade trimestral

MO

NITO

RA

MEN

TO

CO

NTÍN

UO

DO

S

RIS

CO

S Monitoramento e

reporte dos status dos planos de resposta aos

riscos

Reportes pontuais dos status dos planos de resposta podem ser levados, periodicamente, pelo Comitê de Auditoria Estatutário ao Conselho de Administração.

R I C I I

I

R

R R

R

R

A

R C A

I

I A I

I I

I

R

I I I I R

I I I

I


MGR-001 1 53/55





Grupo de Atividades

Atividade

Responsável


Governança,


Gestores de

Negócio

Comitê de


io

Diretoria

Executiva

Conselho de

Administração

MO

NITO

RA

MEN

TO

CO

NTÍN

UO

DO

S R

IS

CO

S Monitoramento e

reporte dos indicadores e dos eventos de riscos de baixo e médio

impacto

O monitoramento dos riscos de baixo e médio impacto deve ocorrer de forma pontual, através do acompanhamento de eventos de perda ou contingências associadas ao risco.

Monitoramento dos indicadores e dos eventos de

riscos de impacto alto e extremo

O monitoramento dos riscos de alto e extremo impacto deve ocorrer através do: - Acompanhamento de eventos de perda ou contingências associadas ao risco;

- Indicadores de risco (KRI) para os riscos prioritários;

- Acompanhamento dos planos de resposta aos riscos.

DIS

CO

RD

ÂN

CIA

S D

E O

PIN

IÃ

O

Deliberação sobre

discordâncias na avaliação e/ou

sobre o plano de resposta para

riscos de impacto baixo ou médio

As discordâncias podem ser geradas nas atividades de

mapeamento de processos/riscos ou no monitoramento de indicadores.

O Comitê de Auditoria Estatutário tem a autonomia para deliberar sobre as discordâncias entre a gestão de riscos e controles internos e áreas de negócio.

Deliberação sobre

discordâncias na avaliação e/ou

sobre o plano de resposta para

riscos de impacto alto ou extremo

O Conselho só será acionado para eventuais pontos de discordância entre o Comitê Riscos e Presidência, sobre a avaliação e/ou sobre o plano de resposta para riscos críticos.

I I I R

I I

A

I I

R

R

R

A


MGR-001 1 54/55





Grupo de Atividades

Atividade

Responsável


Governança,


Gestores de

Negócio

Comitê de


io

Diretoria

Executiva

Conselho de

Administração

Aprovação de alterações na

política de gestão de riscos

ANEXO II – DICIONÁRIO DE RISCOS

A R


MGR-001 1 55/55





*******

manual de gestão de riscos - copergas.com.br · profissionais da entidade, e desenvolvido para...

Documents