Baixe o app para aproveitar ainda mais
Prévia do material em texto
MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 1/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. MANUAL DE GESTÃO DE RISCOS COPERGÁS MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 2/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Conteúdo 1. OBJETIVO ....................................................................................................................................... 3 2. CAMPO DE APLICAÇÃO ................................................................................................................. 4 3. REFERÊNCIAS ................................................................................................................................ 5 4. CONTEÚDO GERAL ........................................................................................................................ 6 4.1. Tabela de figuras ....................................................................................................................... 6 4.2. Símbolos e abreviações ............................................................................................................ 7 4.3. Conceitos ..................................................................................................................................... 8 4.3.1. Risco...................................................................................................................................... 8 4.3.2. Risco de negócio ................................................................................................................. 8 4.3.3. Gestão de risco corporativo .............................................................................................. 8 4.3.4. Apetite, tolerância e exposição ao risco ......................................................................... 8 4.3.5. Controles internos .............................................................................................................. 8 4.3.6. Governança corporativa .................................................................................................... 9 4.3.7. COSO® ERM ......................................................................................................................... 9 4.3.8. Impacto e vulnerabilidade ................................................................................................. 9 4.3.9. Fonte de risco ...................................................................................................................... 9 4.3.10. KRI – Key Risk Indicator ................................................................................................... 9 4.3.11. Premissa para avaliação de riscos ................................................................................... 9 4.4. Plano de treinamento .............................................................................................................. 11 4.4.1. Treinamento do staff da área de gestão de riscos ...................................................... 11 4.4.2. Plano de conscientização da Organização e treinamento de novos funcionários .. 12 4.5. Plano de comunicação ............................................................................................................. 13 5. CONTEÚDO ESPECÍFICO ............................................................................................................ 14 5.1. Missão e visão da gestão de riscos ....................................................................................... 14 5.1.1. Missão da gestão de riscos da COPERGÁS ................................................................... 14 5.1.2. Visão da gestão de riscos da COPERGÁS ..................................................................... 14 5.2. Estrutura organizacional ......................................................................................................... 15 5.3. Competências e responsabilidades ....................................................................................... 16 5.4. Processo de gestão integrada de riscos ............................................................................... 19 5.4.1. Etapa de identificação e avaliação de riscos ................................................................ 20 5.4.2. Etapa de resposta e mensuração de riscos (tratamento de riscos) ......................... 29 5.4.3. Etapa de monitoramento contínuo e reporte dos riscos ............................................ 35 5.5. Metodologias ............................................................................................................................. 37 5.5.1. COSO® ERM ....................................................................................................................... 37 5.5.2. ABNT ISO 31000:2009 .................................................................................................... 45 ANEXOS ............................................................................................................................................... 50 ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES ......................................................... 51 ANEXO II – DICIONÁRIO DE RISCOS ......................................................................................... 54 MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 3/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 1. OBJETIVO Definir orientações gerais para o processo de gestão integrada de riscos, de forma a assegurar que: Os riscos de negócio inerentes às atividades da COPERGÁS sejam identificados, analisados, avaliados e um plano de tratamento seja definido. A estrutura de controles internos seja continuamente revisada, considerando os riscos existentes nos processos de negócio, minimizando os custos associados a riscos não controlados; Os potenciais conflitos de interesse sejam identificados e os riscos associados sejam minimizados, através da implementação de medidas para segregação de funções e/ou monitoramento das atividades; Todos os empregados compreendam claramente os objetivos do processo de gestão de riscos e os papéis, as funções e as responsabilidades atribuídas aos diversos níveis da Companhia; O fluxo de reporte e limites de tolerância estejam previamente aprovados pela Alta Administração; Os planos de resposta aos riscos sejam tempestivamente monitorados pelas instâncias responsáveis na Companhia; Os objetivos estratégicos da Companhia sejam plenamente atendidos; A COPERGÁS atenda aos critérios da Lei nº 13.303/16 MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 4/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 2. CAMPO DE APLICAÇÃO Este manual aplica-se a todos os níveis organizacionais da Companhia, os quais são integrantes do processo de gerenciamento de riscos, direta ou indiretamente. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 5/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 3. REFERÊNCIAS - Código de Conduta e Integridade da COPERGÁS;- Plano Anual de Auditoria Interna. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 6/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 4. CONTEÚDO GERAL 4.1. Tabela de figuras FIGURA 1 LINHAS DE DEFESA DO RISCO .......................................................................................... 15 FIGURA 2 ESTRUTURA ORGANIZACIONAL DA GESTÃO DE RISCOS ............................................................. 15 FIGURA 3 PROCESSO DE GESTÃO INTEGRADA DE RISCOS ...................................................................... 19 FIGURA 4 COMPONENTES DO PROCESSO DE GESTÃO DE RISCOS .............................................................. 20 FIGURA 5 LEGENDA DO DICIONÁRIO DE RISCOS ................................................................................. 21 FIGURA 6 DICIONÁRIO DE RISCOS ................................................................................................ 21 FIGURA 7 MODELO DE CLASSIFICAÇÃO DE MACROPROCESSOS (MPC) ...................................................... 22 FIGURA 8 MAPA DE RISCOS ........................................................................................................ 24 FIGURA 9 CRITÉRIOS PARA AVALIAÇÃO DO IMPACTO ............................................................................ 25 FIGURA 10 PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................... 25 FIGURA 11 METODOLOGIA PARA AVALIAÇÃO DE RISCOS ....................................................................... 26 FIGURA 12 CRITÉRIOS PARA AVALIAÇÃO DA VULNERABILIDADE ............................................................... 27 FIGURA 13 PROCESSO DE AVALIAÇÃO DE RISCOS NOS PROCESSOS .......................................................... 27 FIGURA 14 METODOLOGIA PARA AVALIAÇÃO DE RISCOS NOS PROCESSOS ................................................... 27 FIGURA 15 COSO® ERM – INTERNATIONAL INTEGRATED FRAMEWORK .................................................... 37 FIGURA 16 COSO® ERM – INTERNAL ENVIRONMENT ......................................................................... 37 FIGURA 17 COSO® ERM – OBJECTIVE SETTING............................................................................... 38 FIGURA 18 COSO® ERM – EVENT IDENTIFICATION ........................................................................... 39 FIGURA 19 COSO® ERM – RISK ASSESSMENT ................................................................................ 39 FIGURA 20 COSO® ERM – RISK RESPONSE ................................................................................... 40 FIGURA 21 COSO® ERM – CONTROL ACTIVITIES ............................................................................. 41 FIGURA 22 COSO® ERM – INFORMATION & COMMUNICATION .............................................................. 42 FIGURA 23 COSO® ERM – MONITORING ....................................................................................... 43 FIGURA 24 ISO 31000:2009 – PROCESSO DE GESTÃO DE RISCOS ........................................................ 45 FIGURA 25 ISO 31000:2009 – COMUNICAÇÃO E CONSULTA ............................................................... 45 FIGURA 26 ISO 31000:2009 – ESTABELECIMENTO DO CONTEXTO......................................................... 46 FIGURA 27 ISO 31000:2009 – PROCESSO DE AVALIAÇÃO DE RISCOS .................................................... 46 FIGURA 28 ISO 31000:2009 – TRATAMENTO DE RISCOS ................................................................... 48 FIGURA 29 ISO 31000:2009 – MONITORAMENTO E ANÁLISE CRÍTICA .................................................... 48 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422761 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422762 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422763 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422764 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422765 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422766 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422767 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422768 file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422769 MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 7/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 4.2. Símbolos e abreviações ABNT – Associação Brasileira de Normas Técnicas. AGR – Análise Geral de Riscos. COSO® ERM – Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk Management. COPERGÁS – Companhia Pernambucana de Gás. IBGC – Instituto Brasileiro de Governança Corporativa. ISO – International Organization for Standardization. KRI – Key Risk Indicator. MCP – Modelo de Classificação de Processos. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 8/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 4.3. Conceitos 4.3.1. RISCO Conforme definido no COSO® ERM, risco é a possibilidade de ocorrência de um evento, oriunda de fontes internas ou externas, capaz de afetar adversamente o atendimento dos objetivos da Companhia. É o efeito da incerteza nos objetivos. [ABNT ISO GUIA 73:2009, definição 1.1] 4.3.2. RISCO DE NEGÓCIO É a exposição a impactos negativos resultantes de decisões ou eventos não esperados de natureza estratégica, operacional, financeira, legal e outros decorrentes da maneira pela qual a organização busca atingir os seus objetivos. 4.3.3. GESTÃO DE RISCO CORPORATIVO É um conceito de avaliação e gerenciamento de incertezas (“riscos”) enfrentadas pela Companhia por meio de um enfoque estruturado de controles que alinha estratégia, processos, pessoas, tecnologia e conhecimentos, objetivando a preservação e criação de valor aos stakeholders. Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. [ABNT ISO GUIA 73:2009, definição 2.1] 4.3.4. APETITE, TOLERÂNCIA E EXPOSIÇÃO AO RISCO Apetite ao risco é a exposição a risco que a Companhia está disposta a aceitar para atingir suas metas e objetivos, preservar e criar valor,estando diretamente relacionada à sua estratégia. [COSO® ERM] Quantidade e tipos de riscos que uma organização está preparada para buscar ou reter. [ABNT ISO GUIA 73:2009, definição 3.7.1.2] O apetite ao risco reflete a filosofia de gerenciamento de riscos da Companhia. A tolerância ao risco é o nível aceitável de variação do apetite, considerando o atendimento de objetivos específicos da Companhia. [COSO® ERM] Disposição da organização ou parte interessada em suportar o risco após o seu tratamento, a fim de atingir os seus objetivos. [ABNT ISO GUIA 73:2009, definição 3.7.1.3] Ao contrário do apetite ao risco, que é ampla, a tolerância ao risco é tática e específica. Isto é, ela deve ser expressa em unidades mensuráveis, aplicável em todos os níveis da organização. A exposição ao risco é determinada considerando a avaliação do risco, pela combinação do impacto e vulnerabilidade; deve estar dentro do apetite/tolerância a risco definidos pela Companhia. Medida em que uma organização ou parte interessada está sujeita à um evento. [ABNT ISO GUIA 73:2009, definição 3.6.1.2] 4.3.5. CONTROLES INTERNOS Controle interno é definido como um processo, executado pela Alta Administração, gerência ou outros colaboradores da Companhia, considerando políticas, procedimentos, atividades e MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 9/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. mecanismos designados para proporcionar uma razoável segurança para realização dos objetivos de negócio. Um processo conduzido pela estrutura de governança, pela administração e por outros profissionais da entidade, e desenvolvido para proporcionar garantia (segurança) razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. [COSO® ERM 2016] 4.3.6. GOVERNANÇA CORPORATIVA Conforme definido pelo Instituto Brasileiro de Governança Corporativa (IBGC), governança corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre acionistas, Conselho de Administração, Diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da Companhia, facilitando seu acesso ao capital e contribuindo para a sua sustentabilidade. 4.3.7. COSO® ERM Modelo internacional de controles internos composto por oito camadas (Ambiente Interno, Definição de Objetivos, Identificação dos Riscos, Avaliação do Risco, Tratamento do Risco, Ambiente de Controle, Informação e Comunicação e Monitoramento). É uma iniciativa conjunta de cinco organizações do setor privado que se propõe a liderar a geração de conhecimento por meio de desenvolvimento de estruturas e diretrizes sobre controles internos, gerenciamento de riscos corporativos e prevenção de fraudes. [COSO® ERM 2016] 4.3.8. IMPACTO E VULNERABILIDADE Impacto: é a extensão a que a Companhia pode estar exposta em relação aos objetivos de negócios, antes e/ou depois da avaliação do respectivo risco, podendo ser de ordem tangível ou intangível. Vulnerabilidade: considera a atual estrutura de controles da Companhia: técnicas atuais para mitigação de riscos, eficiência e eficácia de controles, histórico e impactos anteriores de riscos, complexidade do gerenciamento de riscos e nível de crescimento e contração. É a extensão à qual a Companhia pode estar exposta em relação aos objetivos de negócios ou desprotegida em relação aos impactos negativos depois que os controles existentes foram avaliados. Propriedades intrínsecas de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma consequência. [ABNT ISO GUIA 73:2009, definição 3.6.1.6] 4.3.9. FONTE DE RISCO Situações e/ou circunstâncias que podem levar à ocorrência, ou ao aumento da probabilidade de ocorrência, de uma situação de risco. Elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco. [ABNT ISO GUIA 73:2009, definição 3.5.1.2] 4.3.10. KRI – KEY RISK INDICATOR KRI é uma medida utilizada para avaliar como o risco se comporta e para fornecer alertas de forma rápida e antecipada quanto à exposição, seu potencial de ganho ou perda futura, ou seja, a possibilidade de impacto positivo ou negativo do risco nos processos de negócio da Companhia. 4.3.11. PREMISSA PARA AVALIAÇÃO DE RISCOS Quanto maior impacto e vulnerabilidade, maior é o nível de exposição ao risco. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 10/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 11/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 4.4. Plano de treinamento A seguir descrevemos o plano de treinamento a ser adotado pela COPERGÁS, a fim de assegurar que: • A cultura de Gestão de Riscos seja disseminada por toda a Companhia, atingindo as diversas áreas; • Todos os funcionários compreendam claramente os objetivos do processo de Gestão de Riscos, bem como os papéis, funções e as responsabilidades atribuídas aos diversos níveis hierárquicos da Companhia; • Todos os funcionários tenham conhecimento dos meios de comunicação disponíveis para o processo de Gestão de Riscos, conforme o plano de comunicação definido. O programa de treinamento deverá abranger todos os funcionários da COPERGÁS, observando seu grau de participação nas funções de Gestão de Riscos e será estruturado em três etapas distintas, quais sejam: 4.4.1. TREINAMENTO DO STAFF DA ÁREA DE GESTÃO DE RISCOS Os funcionários designados a atuarem na Área de Governança, Conformidade e Riscos devem receber treinamento específico e contínuo em Gestão de Riscos, atendendo a cursos, palestras e seminários específicos, abordando os seguintes assuntos: • Política de Gestão de Riscos da COPERGÁS; • Conceitos de Gestão Integrada de Riscos; • Critérios e premissas para avaliação de riscos e controles internos; • Explicação sobre o funcionamento da metodologia e ferramentas utilizadas para o processo de Gestão de Riscos da COPERGÁS, contemplando: − Modelo de Classificação de Processos – MCP; − Linguagem Comum de Riscos – LCR; − Sistema informatizado para Gestão de Riscos; − Modelo de autoavaliação de controles (Control Self Assessment). • Procedimentos para elaboração e monitoramento de planos de remediação/mitigação de riscos; • Legislação aplicável às atividades da Companhia (saneamento, regulatória, ambiental, fiscal, etc.); • Segurança da informação; e • Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo com o plano de comunicação. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 12/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 4.4.2. PLANO DE CONSCIENTIZAÇÃO DA ORGANIZAÇÃO E TREINAMENTO DE NOVOS FUNCIONÁRIOS O plano de conscientização dos empregados quanto à importância do processo de Gestão de Riscos deverá ser realizado no início das atividades de Gestão de Riscos e deve ser repetido sempre que a Alta Administração julgar necessário. Esta etapa consiste na realização de palestras paragrupos de empregados, a serem ministradas por membros da Área de Governança, Conformidade e Riscos. Os seguintes tópicos deverão ser abordados nas palestras: • Definição dos conceitos de risco e Gestão de Riscos; • Apresentação da missão e visão do processo de Gestão de Riscos; • Conscientização sobre a importância da Gestão de Riscos; • Apresentação da composição do Comitê de Auditoria Estatutário; • Descrição da estrutura criada na COPERGÁS para desempenhar as atividades e os empregados envolvidos; • Explicação acerca da importância da participação das demais áreas no processo de Gestão de Riscos; • Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo com o plano de comunicação; e • Esclarecimento de eventuais dúvidas. Semestralmente, a área de Gestão de Pessoas deve informar à Área de Governança, Conformidade e Riscos todos os empregados admitidos no último período que não tenham participado do plano de conscientização. Esses funcionários devem assistir à palestra, conforme avaliação da Área de Governança, Conformidade e Riscos. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 13/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 4.5. Plano de comunicação O Plano de Comunicação deve atender a todos os empregados da Companhia, observando o grau de responsabilidade e envolvimento no processo de Gestão de Riscos de cada um. O Plano de Comunicação deve ser estabelecido para assegurar que: • Todas as áreas compreendam claramente o papel, os objetivos, as funções e as responsabilidades da Área de Governança, Conformidade e Riscos, enquanto função de controle independente dentro da COPERGÁS, bem como seus respectivos deveres e responsabilidades para o entendimento e cumprimento das políticas definidas, das leis e dos regulamentos existentes. • O pessoal chave compreenda seu papel de atuação e suas responsabilidades no processo de Gestão de Riscos. • Os planos de ação sejam devidamente implementados, com o intuito de minimizar o risco dos procedimentos da Companhia não estarem em conformidade com as leis e os regulamentos (internos e externos), especialmente nos casos em que haja exposição a multas e/ou sanções de órgãos reguladores. Alguns exemplos de comunicação podem ser adotados pela COPERGÁS. Abaixo estão descritas algumas opções: • Jornal interno/ TVs Internas – divulgação bimestral de notícias sobre o processo Gestão de Riscos, sobre as atividades desempenhadas, as áreas envolvidas e os principais resultados. Divulgação permanente de informações relevantes e atualizadas sobre a Área de Governança, Conformidade e Riscos, tais como usuários-chave, objetivo, missão, função, áreas de atuação, principais contatos e esclarecimento de dúvidas frequentes (FAQs); • Correio eletrônico e intranet – divulgação de endereço de correio eletrônico para a comunicação entre os demais funcionários da COPERGÁS e a Gestão de Riscos. • Alertas de pop-ups nos computadores da Companhia – disseminação de tópicos relevantes acerca da Gestão de Riscos, além da possibilidade de lançamento de pesquisas, esclarecimento de dúvidas frequentes (FAQs) e/ou lançamento de quiz sobre fatos importantes (highlights), curiosidades, resultados e tendências sobre a gestão de riscos. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 14/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5. CONTEÚDO ESPECÍFICO 5.1. Missão e visão da gestão de riscos 5.1.1. MISSÃO DA GESTÃO DE RISCOS DA COPERGÁS Amparar o desenvolvimento sustentável da Companhia frente, a partir da aplicação de metodologia estruturada para o gerenciamento de riscos corporativos, favorecendo maior assertividade do processo decisório da Alta Administração e internalizando a cultura de gestão de riscos por meio de uma linguagem comum. 5.1.2. VISÃO DA GESTÃO DE RISCOS DA COPERGÁS Garantir a implantação efetiva do processo de gestão de riscos e a consolidação do tema em todos os colaboradores da Companhia até 2020. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 15/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.2. Estrutura organizacional A distribuição de responsabilidades no processo de gestão de riscos deve contemplar agentes nas três linhas de defesa, conforme modelo sugerido pelo IIA – Instituto dos Auditores Internos, a saber: Figura 1 Linhas de Defesa do Risco Fonte: Adaptação da Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles. IIA (2013) A seguir, apresentamos a estrutura de governança corporativa para a Gestão de Riscos proposta e seus respectivos níveis hierárquicos: Figura 2 Estrutura organizacional da Gestão de Riscos Fonte: Elaborado por Deloitte© MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 16/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.3. Competências e responsabilidades A Gestão de Riscos na COPERGÁS é realizada através de uma estrutura coordenada pelo Comitê de Auditoria Estatutário, com o envolvimento ativo de dois atores principais: Área de Governança, Conformidade e Riscos e gestores das áreas de negócio, conforme descrição a seguir: Comitê de Auditoria Estatutário: atividades de aprovação visando assegurar o equilíbrio, a transparência e a integridade das informações, diante do cumprimento das suas principais atribuições, a saber: I - Aprovar a metodologia e os documentos chave (exemplos: Política de Gestão de Riscos, Manual de Gestão de Riscos, ISO 31000 etc.) a serem utilizados para a condução do processo de Gestão de Riscos junto ao Comitê de auditoria estatutário e ricos e o Conselho Administrativo; II - Incentivar o cumprimento da Política de Gestão de Riscos e o Manual de Gestão de Riscos; III - Analisar o apetite ao risco e submete-lo para aprovação do Conselho de Administração. IV - Submeter periodicamente ao Conselho de Administração relatório sobre os resultados do monitoramento dos riscos inerentes às atividades da Companhia e que possam afetar o atendimento aos seus objetivos; V - Acompanhar de forma sistemática os Indicadores de Riscos, com o objetivo de garantir sua eficácia; e VI - Avaliar a efetividade do processo de gestão de riscos, principalmente no tocante à definição, revisão e monitoramento dos riscos priorizados. Área de Governança, Conformidade e Riscos: atividades de planejamento e gestão de riscos corporativos da Companhia, visando garantir a execução da política de riscos aprovada, através da aceitação ou redução dos riscos estratégicos, financeiros, operacionais e legais. Monitoramento do ambiente de controles internos e acompanhamento do nível de implementação das melhorias visando manter os riscos no nível definido pela Alta Administração. A Área de Governança, Conformidade e Riscos é responsável pelas seguintes atividades na COPERGÁS: I - Realizar estudos e análise qualitativa e quantitativa de riscos estratégicos, financeiros, operacionais e legais; II - Propor e revisar metodologia de avaliação, apetite, tolerância e gestão de riscos corporativos; III - Planejar os processos e riscos a serem mapeados na ótica de identificação e aperfeiçoamentoda estrutura de controles; IV - Identificar e monitorar riscos, avaliando vulnerabilidade e impacto da ocorrência, propondo medidas para controle e priorização dos riscos; V - Acompanhar a implementação dos planos de ação estabelecidos provenientes dos trabalhos de auditoria interna e gestão de riscos; VI - Realizar articulação e dar suporte às demais áreas da empresa, auxiliando na definição dos responsáveis primários dos riscos na sua gestão de riscos; VII - Assessorar os responsáveis primários dos riscos quanto à exposição e tolerância ao risco, bem como à definição e execução de ações mitigatórias de controles internos e respostas aos eventos; VIII - Revisar relatório de análise de riscos contendo classificação, plano de resposta e estratégias de monitoramento; IX - Disseminar linguagem comum de riscos na Companhia visando uniformização e padronização dos conceitos; X - Disseminar cultura de controles internos com base em modelos reconhecidos internacionalmente (ex.: COSO®); MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 17/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. XI - Conduzir processos de autoavaliação de controles; XII - Manter uma base de dados de riscos e controles internos relacionados aos processos de negócio da Companhia no SGI (Sistema de Gestão Integrada); XIII - Realizar reportes à Alta Administração e Comitê de Auditoria Estatutário quanto ao cenário de riscos da Companhia; XIV - Apontar ao Comitê de Auditoria Estatutário ou Comitê de Ética a ocorrência de não conformidades, falhas, desvios, irregularidades e/ou ilegalidades observadas; XV - Realizar a gestão do ambiente de controles internos, de acordo com políticas, certificações legais, regulatórias e demais diretrizes para mitigar o risco; XVI - Orientar e desenhar controles internos junto às áreas da Companhia, alinhados ao processo de avaliação dos riscos para implementação e priorização das ações mitigatórias; XVII - Dar suporte no monitoramento e avaliação dos controles internos dos processos de negócio (financeiros, corporativos, tecnológicos, operacionais, etc) para tomada de decisão e a fim de garantir a conformidade das práticas de gestão de riscos; XVIII - Assegurar e acompanhar revisão e atualização periódica dos controles internos implementados; XIX - Assessorar a auditoria interna e externa no levantamento de informações e documentações solicitados para fins de auditoria; XX - Define e propõe metodologias para avaliação e acompanhamento dos riscos de Compliance; XXI - Consolida os riscos de Compliance e ações mitigantes; XXII - Realiza ações de promoção da cultura interna de Compliance; XXIII - Coordena as melhorias de processos para mitigar os riscos de Compliance; e XXIV - Monitora os riscos de Compliance. É permitido à Área de Governança, Conformidade e Riscos o acesso a todas as áreas de negócio que compõem a COPERGÁS e a seus respectivos dados e informações. Entretanto, não está investida de autoridade executiva sobre nenhuma das áreas. Gestores das áreas de negócio (responsáveis primários ou donos dos riscos – risk owners): responsáveis primários pela Gestão de Riscos, os gestores das diversas áreas de negócio da COPERGÁS atuam ativamente neste processo, através das seguintes ações: I - Ter conhecimento prévio e efetuar o monitoramento dos riscos e controles, direta ou indiretamente, envolvidos nas operações sob sua gestão; II - Identificar as áreas, causas e consequências associadas aos riscos; III - Assumir os riscos dentro dos limites de tolerância definidos pelo Comitê de Auditoria Estatutário; IV - Definir as ações mitigatórias em conjunto com a Área de Governança, Conformidade e Riscos; V - Buscar os recursos necessários para mitigar os riscos; VI - Participar da avaliação do apetite e limite de tolerância dos riscos; VII - Executar suas atividades e decisões em linha com as premissas desta política ou outras diretrizes da COPERGÁS, de forma a minimizar a exposição da Companhia a riscos; VIII - Reportar periodicamente à Área de Governança, Conformidade e Riscos ou ao Comitê de Auditoria Estatutário dos eventos relevantes, que afetem o grau de exposição da COPERGÁS a riscos; e IX - Assegurar a implantação dos planos de resposta e monitoramento dos riscos envolvidos nas operações sob sua gestão, de acordo com as deliberações tomadas em conjunto com a Área de Governança, Conformidade e Riscos, Comitê de Auditoria Estatutário ou Alta Administração. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 18/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. O Anexo I – Matriz de papéis e responsabilidades do presente Manual contém a relação das principais atividades do processo de Gestão de Riscos e os respectivos papéis e responsabilidades dos principais atores do processo, a saber: Área de Governança, Conformidade e Riscos, Gestores de Negócio, Comitê de Auditoria Estatutário, Diretoria Executiva e Conselho de Administração. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 19/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.4. Processo de gestão integrada de riscos O processo de gestão integrada de riscos foi desenvolvido conforme apresentado a seguir: Figura 3 Processo de gestão integrada de riscos Fonte: Elaborado por Deloitte©. Abaixo segue breve descrição dos nove princípios fundamentais da gestão integrada de riscos: • Definição e entendimento dos riscos: linguagem comum de riscos, que direciona tanto a criação como a preservação de valor à empresa, e que seja consistente em todas as Unidades de Negócio. • Utilização de padrões e metodologias: metodologia de gestão de riscos suportada por um padrão reconhecido (ex.: COSO® ERM, ISO 31000) para identificação, resposta e gerenciamento dos riscos. • Papéis e responsabilidade: papéis, responsabilidades e limites de alçada claramente definidos e alinhados à estrutura de profissionais da empresa. • Envolvimento da Alta Administração: órgãos de gestão (ex.: Conselho de Administração, Comitê de Auditoria e Riscos) atuando com transparência e diligência nas práticas de gestão de riscos. • Responsabilidades da Alta Administração: grupo executivo responsável pelo desenho, implantação e manutenção de um programa estruturado de gestão de riscos. • Infraestrutura para gestão de riscos: infraestrutura única de riscos para orientar e suportar todas as unidades e áreas de negócio em suas responsabilidades relacionadas a riscos. • Avaliação periódica do processo: unidades de negócio diretamente responsáveis pelo desempenho de suas estruturas, gerenciamento dos riscos associados a elas e comunicação/reporte à Administração. • Responsabilidades das áreas de negócio: outras áreas asseguram, monitoram e reportam a efetividade do processo de gestão de riscos da empresa aos órgãos de gestão. • Suporte de funções pervasivas: determinadas áreas possuem um impacto pervasivo na empresa (ex.: TI) e, além de prover suporte às unidades de negócio em relação ao programa de gestão de riscos, potencializam o sucesso do gerenciamento quando estrategicamente alinhados aos elementos do programa de riscos. O processo de gerenciamento de riscos da COPERGÁS considera os seguintes componentes: MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 20/55 Título: Manual de Gestão de Riscos Manualde Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Figura 4 Componentes do processo de gestão de riscos Fonte: Elaborado por Deloitte©. 5.4.1. ETAPA DE IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS 5.4.1.1 Análise Geral de Riscos (AGR) A AGR reflete, de maneira estruturada, as percepções dos executivos em relação aos principais aspectos de gestão e riscos envolvidos nas operações, áreas/processos de negócio e características da Companhia. As origens internas ou externas, relacionadas às estratégias e aos objetivos de negócio da Companhia são mapeadas e monitoradas para assegurar que quaisquer materializações que venham a ocorrer sejam conhecidas e geridas em um nível aceitável. A AGR deverá ser atualizada periodicamente (a cada 2 anos, no máximo), a fim de identificar possíveis alterações no ambiente de negócios que possam afetar o atendimento aos objetivos de negócio. Quaisquer mudanças identificadas devem ser registradas no documento de análise de riscos corporativos da Companhia, conforme metodologia detalhada no tópico seguinte. A análise Geral dos Riscos corporativos é composta pelos seguintes componentes: 5.4.1.2 Dicionário de riscos O Dicionário de Riscos Corporativos classifica e categoriza os riscos em uma linguagem comum, considerando as características e o ambiente de negócio da empresa. O Dicionário de Riscos Corporativos da COPERGÁS contempla informações segregadas em quatro principais temas, quais sejam: Estratégico Financeiro Operacional Legal MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 21/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Cada tema está segregado em grupos e em cada grupo estão as categorias de riscos pertinentes à COPERGÁS. Figura 5 Legenda do dicionário de riscos Fonte: Elaborado por Deloitte©. O universo de riscos aplicáveis à COPERGÁS está segmentado da seguinte forma: Figura 6 Dicionário de riscos Fonte: Elaborado por Deloitte©. O detalhamento contendo a definição de cada categoria encontra-se no Anexo II – Dicionário de riscos. Cabe a Área de Governança, Conformidade e Riscos atualizar o dicionário de riscos sempre que seja identificado um novo risco que não possui vínculo à uma categoria existente. 5.4.1.3 Modelo de Classificação de Macroprocesso (MCP) O MCP é utilizado para categorizar os macroprocessos-chave da Companhia e auxiliá-la na padronização e priorização dos controles necessários para mitigação dos riscos associados. No caso da COPERGÁS, a existência da Cadeia de Valor desenhada possibilitou a utilização desse instrumento como MCP. As origens de risco identificadas são vinculadas aos macroprocessos existentes na Companhia. Dessa forma, caso sejam identificados novos processos ou realizadas novas auditorias em processos, o modelo é atualizado. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 22/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Os macroprocessos da COPERGÁS estão segmentados nas seguintes camadas da Cadeia de Valor: − Macroprocessos Finalísticos: refletem a atividade fim da Companhia (Core business). − Macroprocessos de Apoio: suportam diretamente a execução dos macroprocessos finalísticos, permitindo a gestão adequado dos aspectos mais relevantes e que impactam diretamente a operação da Companhia. − Macroprocessos Governança e Estratégia: propiciam a gestão estratégica e governança corporativa da Companhia. A seguir apresentamos o MCP da COPERGÁS, reflexo da sua Cadeia de Valor: Figura 7 Modelo de Classificação de Macroprocessos (MCP) Fonte: Elaborado por Deloitte©. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 23/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.4.1.4 Identificação de eventos Para identificar eventos, a Área de Governança, Conformidade e Riscos utilizará os seguintes meios: Ferramentas de análise de risco; Entrevistas com a alta administração e com gestores indicados pela Diretoria Executiva; Utilização de questionários específicos para os principais executivos e gestores indicados; Avaliação dos resultados de indicadores de riscos monitorados; Resultados de trabalhos de auditorias, interna e externa; Resultados de trabalhos de compliance; Resultados de trabalhos de mapeamento de riscos e controles. Para execução dessa fase, a Área de Governança, Conformidade e Riscos deve utilizar roteiro entrevista como ferramenta específica para coleta de informações, considerando as categorias de risco pertinentes à área do executivo avaliado, além de perguntas aplicáveis à toda a Companhia, a fim de identificar novas origens, atualizar o status das já existentes, bem como identificar ações que estão sendo tomadas para mitigação do risco. Paralelamente, pode ser aplicada a coleta de dados e informações através de questionários com o propósito de levantamento de atenuantes e agravantes dos riscos junto aos executivos indicados pela Alta Administração. Em ambas abordagens (entrevista e questionário), nesta etapa, será capturada a percepção de cada executivo acerca dos controles (vulnerabilidade – atenuantes e agravantes) e relevância (impacto) sobre cada risco de negócio. A Área de Governança, Conformidade e Riscos deve compilar os resultados definidos, consolidando as origens correlacionadas aos riscos de negócio provenientes das entrevistas e das ferramentas usadas (questionário), cadastrando as informações na base de documentação e controle dos riscos e classificando as informações apontadas enquanto atenuante ou agravante para cada categoria de risco. 5.4.1.5 Mapa de riscos O mapa de riscos demonstra a exposição de cada risco, ou seja, sua classificação conforme impacto e vulnerabilidade, considerando a percepção dos executivos da Companhia, com base nas principais conclusões sobre o grau de severidade (indicador de impacto) e grau de eficácia dos controles (indicador de vulnerabilidade) em operação na Companhia. O grau de exposição deverá ser graduado em quatro níveis, definidos com base no impacto e na vulnerabilidade, utilizando-se da escala a seguir: MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 24/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Figura 8 Mapa de riscos Fonte: Elaborado por Deloitte©. O enquadramento da exposição ao risco se refere à extensão à qual a Companhia está exposta ou desprotegida em relação aos impactos negativos após avaliação dos controles existentes. 5.4.1.6 Critérios para avaliação do nível de exposição do risco 5.4.1.6.1 Avaliação do impacto Na dimensão de impacto alguns critérios para avaliação qualitativa e quantitativa são postos como premissas, a saber: MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 25/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Figura 9 Critérios para avaliação do impacto Fonte: Elaborado por Deloitte©. O apetite ao risco da Alta Administraçãofoi estabelecido com base em percentuais atrelados à Receita Operacional Líquida (ROL), conforme coluna “Critérios para avaliação quantitativa” da Figura 8 Critérios para avaliação do impacto. Contudo, o critério e os percentuais podem ser redefinidos pela Alta Administração e Comitê de Auditoria Estatutário, conforme processo estruturado de aprovação formal anualmente. O processo de avaliação de riscos consiste no desenvolvimento das seguintes etapas, que serão detalhadas em seguida: Figura 10 Processo de avaliação de riscos Fonte: Elaborado por Deloitte©. A classificação do impacto (Extremo, Alto, Médio ou Baixo) deve partir da definição do tipo de análise, ou seja, se o impacto será mensurado de forma quantitativa (aplicável quando da disponibilidade de dados históricos de materialização do risco ou do valor em risco) ou qualitativa (aplicável quando da indisponibilidade de histórico de materialização ou precisão do valor em risco). Nesta última perspectiva, é recomendável usar o “pior cenário” (worst case) e o julgamento profissional para determinar a avaliação sumária do impacto. Neste sentido, a metodologia para cálculo do impacto considera os seguintes critérios/qualificadores e pesos, respectivamente, para fins de ponderação: MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 26/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Figura 11 Metodologia para avaliação de riscos Fonte: Elaborado por Deloitte©. Caso a categoria de risco seja avaliada exclusivamente de forma qualitativa, dada a indisponibilidade de histórico de materialização do risco ou do valor em risco, serão ponderados os pesos das variáveis destacados na Análise Qualitativa da Figura 11, que totalizam 100%. Já no caso da categoria de risco que dispuser do histórico de materialização ou valor em risco de forma aderente e concisa, a análise será quantitativa e o valor financeiro será considerado em sua totalidade para fins de enquadramento na escala de impacto (Baixo, Médio, Alto e Extremo), conforme definição do apetite ao risco (Vide Figura 9 Critérios para avaliação do impacto). 5.4.1.6.2 Avaliação da vulnerabilidade No caso da vulnerabilidade, é utilizado o julgamento profissional para determinar a avaliação sumária dessa dimensão, considerando aspectos tais como: Eficácia do controle: A eficácia de capacidades existentes para gestão do risco. Inclui fatores pessoais, tais como, ambiente ético, pressões para alcançar objetivos, competência, adequação e integridade dos julgamentos das pessoas e da gerência. Processos incluem adequação e eficiência dos controles internos e o grau de informações dos sistemas corporativos; Resposta à experiência prévia de risco: A ação corretiva eficiente deve ser tomada após a experiência prévia de risco. A falta de resposta eficaz às experiências prévias de risco aumenta a vulnerabilidade; Complexidade ou volatilidade das atividades: O número de fatores e volatilidades inter-relacionados de aspectos como pessoas, processos, sistemas e unidades de negócios, incluindo dispersão geográfica de operações. A complexidade elevada aumenta a vulnerabilidade; Nível de alteração nos processos (crescimento/contração): Mudanças recentes ou futuras em pessoas chave, na estrutura organizacional, nos processos, nos sistemas, no modelo de negócios ou na infraestrutura potencializam a vulnerabilidade; Condições externas: Volatilidade de condições competitivas, financeiras e econômicas. Alta volatilidade aumenta a vulnerabilidade. A análise da vulnerabilidade, relativa ao nível de exposição ao risco, considerando a percepção dos executivos, o histórico de ocorrência, grau de implementação dos planos de ação, a atual estrutura de controles da COPERGÁS e o julgamento profissional, embasam a classificação dos riscos na dimensão da vulnerabilidade conforme a seguinte escala: MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 27/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Figura 22 Critérios para avaliação da vulnerabilidade Fonte: Elaborado por Deloitte©. Neste sentido, é atribuída a classificação da vulnerabilidade (Extrema, Alta, Média ou Baixa), com base no grau de confiança combinada para todos os controles associados ao risco, utilizando as definições da Figura 12. 5.4.1.7 Critérios para avaliação de riscos nos processos O processo de avaliação de riscos nos processos consiste no desenvolvimento das seguintes etapas, que serão detalhadas em seguida: Figura 13 Processo de avaliação de riscos nos processos Fonte: Elaborado por Deloitte©. Para a priorização dos processos, utilizamos os seguintes critérios/qualificadores: Figura 143 Metodologia para avaliação de riscos nos processos Fonte: Elaborado por Deloitte©. Caso o processo seja avaliado de forma exclusivamente qualitativa, quando da indisponibilidade de dados quantitativos, serão ponderados apenas os pesos de “Avaliação dos riscos no processo” e “Complexidade do processo”, que totalizam 100%. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 28/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Caso o processo seja avaliado de forma qualitativa e quantitativa, serão ponderados os pesos conforme figura 14, relativo aos respectivos critérios, que totalizam 100% e incorpora o critério do Valor (R$) financeiro envolvido. Abaixo segue breve descrição do que representa cada critério: Avaliação dos riscos do processo: grau de risco do processo, considerando o entendimento dos executivos entrevistados e respondentes dos questionários, refletida na análise geral de riscos (AGR). Valor financeiro envolvido: volume financeiro envolvido para quantificação do processo. Complexidade do processo: nível de esforço organizacional/controle para execução e gestão do processo analisado, considerando: − Sistemas envolvidos; − Áreas envolvidas. Pode-se ainda no futuro utilizar um quarto critério: Plano de Ação, que se refere à quantidade de recomendações implementadas e não implementadas, referente aos resultados dos ciclos de auditoria interna ou de outros projetos de revisão de processos ou controles internos que geraram recomendações para fortalecimento das linhas de defesa da Companhia. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 29/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.4.2. ETAPA DE RESPOSTA E MENSURAÇÃO DE RISCOS (TRATAMENTO DE RISCOS) 5.4.2.1 Definir o agente de Gestão de Riscos (colaboradores chave) Para a definição de indicadores de riscos, a Área de Governança, Conformidade e Riscos, em conjunto com a Diretoria (“Process Owner”) envolvida nos principais processos afetados pelo risco, devem definir os agentes de Gestão de Riscos (“Risk Owner”). Os indicadores de risco são definidos para cada risco, no âmbito das áreas envolvidas e, periodicamente, acompanhados pelos agentes supracitados. Os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos, são responsáveis por definir ações para mitigação dos riscos. 5.4.2.2 Definir resposta aos riscos O objetivo dessa etapa é definir planos de ação com base na avaliação dos controles utilizados paragerenciamento do risco, priorizando os planos relacionados aos riscos mais críticos através da alocação eficiente dos recursos e cumprimento dos prazos exigidos. Com base nos resultados da avaliação dos riscos prioritários, o Comitê de Auditoria Estatutário deve aprovar o tratamento a ser dado ao risco, os quais podem ser: evitar, transferir, reduzir ou aceitar. Caso a opção seja aceitar o risco, devem ser estabelecidas métricas de monitoramento deste. Caso o tratamento escolhido para o risco seja reduzir, são definidos planos de ação para mitigar o nível de exposição. As atividades que compõem a etapa de resposta ao risco são subdivididas nas seguintes seções: Definir estratégias para gerenciamento de riscos; Elaborar os planos de ação; Priorizar as deficiências encontradas. 5.4.2.3 Definir estratégias para gerenciamento de riscos A Área de Governança, Conformidade e Riscos deve discutir com o gestor do processo/área a estratégia para gerenciamento do risco residual (resposta ao risco) levando em consideração o impacto, a vulnerabilidade, a tolerância da alta administração e o custo-benefício. Atentar para o fato de que sempre existirá um nível residual de risco, não apenas por causa da limitação de recursos, mas também por causa das incertezas futuras e limitações inerentes da estrutura de controle. Obter a aprovação do Comitê de Auditoria Estatutário a respeito das estratégias para gerenciamento do risco, acordadas com os gestores dos processos. Registrar a estratégia definida em conjunto com o gestor do processo no Sistema de Gestão de Riscos, considerando: Modificar o nível de exposição por meio de plano de ação, conforme estratégia de resposta adotada: evitar, transferir, reduzir e/ou aceitar o risco; Assumir o risco e monitorá-lo dentro do limite de exposição aceitável, com ou sem a utilização de Indicadores de Risco – KRI. Produtos Gerados: Estratégia para gerenciamento de risco. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 30/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.4.2.4 Elaborar os planos de ação Os responsáveis da Diretoria (“Process Owners”), com o suporte dos agentes de Gestão de Riscos (“Risk Owners”), devem elaborar planos de ação como resposta ao risco do processo relativo aos controles que, na etapa de avaliação e teste de controles, foram classificados com grau de confiança insuficiente. Os tipos de deficiências resultantes dos testes de controles e da avaliação de controles são: Deficiências de controle: falhas que podem afetar adversamente a capacidade da Companhia para iniciar, autorizar, registrar, processar, consolidar e reportar dados financeiros e não financeiros precisos. Deficiências significativas/condição reportável: deficiências reportadas ao Comitê de Auditoria Estatutário em razão da relevância da falha no desenho ou na operação de controles internos, podendo afetar a capacidade da companhia de iniciar, autorizar, registrar, processar, consolidar e reportar dados financeiros e não financeiros precisos. Fraqueza material/condição reportável: o desenho ou a operação de um ou mais componentes dos controles internos expõe a Companhia à possibilidade de erros monetários ou fraude de valores materiais em relação às demonstrações financeiras. Os planos de ação correspondentes devem ter prioridade na implementação. De acordo com o resultado da avaliação e teste, deve-se dar prioridade ao plano de ação conforme abaixo: Baixa: deficiência de controle, podendo o controle não ser efetivo ou não existir; Média: deficiência significativa, podendo o controle não ser efetivo ou não existir; Alta: fraqueza material caracterizado por um controle chave não efetivo ou não existente; Além da priorização, o plano de ação deve conter as seguintes informações: Recomendação: melhoria a ser implementada; Data-limite: prazo para implantação da recomendação; Responsável: indicar o responsável pelo plano de ação; Área responsável: indicar área responsável pelo plano de ação. A Área de Governança, Conformidade e Riscos deve validar os aspectos identificados e definir juntamente ao responsável primário do risco, o responsável e o prazo de implementação do plano de ação. Produtos Gerados: Planos de Ação. 5.4.2.5 Priorizar as deficiências encontradas Para priorizar as deficiências encontradas, deve-se: Avaliar os recursos necessários para a implementação das recomendações (ex.: pessoas, sistemas e orçamento); Priorizar as recomendações definidas no plano de ação, considerando a relação entre a relevância da deficiência encontrada e a facilidade de implementação; MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 31/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Elaborar um cronograma para implementação de cada recomendação, considerando: − Prazos acordados no plano de ação; − Obtenção dos recursos necessários; − Impacto nas atividades do processo. Submeter as deficiências priorizadas para análise dos responsáveis pela estrutura de controles internos da Companhia para validação. Em seguida, a proposta de priorização deve ser aprovada pelo Comitê de Auditoria Estatutário e Conselho de Administração. Produtos Gerados: Priorização das deficiências identificadas. 5.4.2.6 Mensurar e priorizar os riscos a serem monitorados Para mensurar riscos é necessário realizar a priorização dos principais riscos existentes nos processos, visando, não apenas a alocação dos recursos de forma mais eficiente, como também demonstrar os benefícios do processo de monitoramento contínuo para a Companhia. Caso exista um grande número de riscos identificados, é recomendável priorizar aqueles para os quais serão desenvolvidos indicadores a partir da avaliação do seu impacto e vulnerabilidade de ocorrência. De maneira geral, a prática demonstra que começar pelos 10 riscos mais relevantes (extremo/alto impacto e extrema/alta vulnerabilidade) possibilita desenvolver um conjunto de indicadores que sejam ao mesmo tempo abrangentes o suficiente para permitir o acompanhamento dos principais fatores impactantes e específicos o suficiente para possibilitar o seu efetivo gerenciamento. Como ponto de partida natural para esse processo, deve-se realizar análise das informações já existentes sobre os riscos identificados em trabalhos conduzidos pelas áreas de Auditoria interna, Gestão de Riscos e pelos órgãos reguladores, entre outros. 5.4.2.7 Definir indicadores de riscos (Key Risk Indicator – KRI) 5.4.2.7.1. Definição de KRI e níveis de tolerância Os indicadores de risco (KRIs) são utilizados para monitorar o grau de exposição do risco. Não existe um número máximo ou mínimo pré-definido de KRIs e cada risco pode ter um ou mais indicadores. O KRI deve ser relevante e sensível ao risco que ele está monitorando, ou seja, capaz de capturar possíveis problemas que estejam ocorrendo, caso seu valor atinja um determinado limite. Ele deve ser uma medida objetiva, eficiente e preferencialmente quantitativa. Os níveis de tolerância podem ser: • Máximo: requer ações que mitiguem o nível de risco; • Preocupante: indica uma tendência do nível de risco em atingir um nível de tolerância máxima, alertando o gestor a tomar ações de mitigação do risco; • Aceitável: indica níveis aceitáveis de risco sem requerimento de ações específicas de mitigação de risco. Os indicadores de riscos são associados às áreas responsáveis, de acordo com as especificidades analisadas, para que açõespreventivas ou corretivas possam ser tomadas caso seu resultado MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 32/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. sinalize que o risco se materializou, esteja em vias da ocorrência do evento de risco ou tenha ultrapassado o limite de tolerância a risco. Produtos Gerados: KRIs definidos; Lista dos riscos que serão monitorados por KRIs. 5.4.2.7.2. Registro e monitoramento de KRIs Os indicadores de risco (KRIs) devem ser definidos e monitorados por meio do Sistema de Gestão de Riscos, contemplando o detalhamento dos indicadores e o associando aos riscos que já estão monitorados. Nesta etapa, os seguintes itens devem ser considerados para fins de documentação dos KRIs: • Indicador: referência do indicador; • Objetivo: descrição do objetivo do indicador; • Responsável: responsável primário do risco; • Processos associados: relação de processos associados ao risco; • Fórmula: fórmula sugerida para o cálculo do indicador; • Componentes: descrição dos elementos necessários para o cálculo do indicador conforme apresentado na fórmula; • Fonte: sistemas ou documentações bases dos componentes; • Acompanhamento: periodicidade de cálculo do indicador; • Status: indicação quanto ao status de implementação do indicador, conforme segue: KRI não implementado ou KRI implementado; • Limite de tolerância: valores a partir dos quais são justificadas análises sobre as razões das variações apresentadas; • Entendimento da variação: descrição das possíveis razões que originaram as variações no indicador; • Unidade de medida: representa como o indicador será medido, por exemplo, em valor percentual (%); • Resultado: descrição do resultado. 5.4.2.7.3. Mapeamento das fontes de dados e coleta de informações Uma vez definido como os indicadores que serão documentados, o próximo passo para o desenvolvimento da matriz de indicadores consiste em priorizar, entre as inúmeras informações disponíveis na Companhia, aquelas que por sua natureza, relevância e disponibilidade poderão ser fonte de alimentação dos indicadores de risco. Eventualmente, o mapeamento da localização dos dados nos sistemas de origem exige o envolvendo do analista de TI, que possui conhecimento técnico mais avançado acerca dos sistemas da Companhia. O mapeamento da localização dos dados é fundamental para a posterior implementação do indicador no Sistema de Gestão de Riscos. A partir do levantamento das informações disponíveis, inicia-se um processo de análise para determinar quais informações têm uma relação de causa/ efeito nos riscos a serem acompanhados. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 33/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Os dados necessários para cálculo do indicador podem ser obtidos dos sistemas da Companhia de forma automática ou através de procedimentos alternativos de coleta, a serem definidos e implementados para cada risco analisado. É imprescindível a definir a periodicidade e forma de obtenção de dados, sendo preferencial que seja de forma automatizada (exemplo: geração de query, batches, via arquivos, etc.). Caso os dados não estejam disponíveis de forma automática, é importante avaliar a melhor forma para registro manual dos dados (ex. planilhas, arquivos “.txt”, etc.). 5.4.2.7.4. Testes de aderência dos KRIs O KRI precisa de uma fase de testes para validar seus atributos (principalmente sua fórmula e periodicidade de cálculo) e, posteriormente, estabelecer limites (níveis de tolerância) que indiquem a materialização dos riscos, antes de ser colocado em produção. Neste sentido, faz-se necessário obter os dados para teste do KRI e avaliar se os resultados obtidos são factíveis, observando: • Integridade e confiabilidade dos dados, verificando nível de oscilação do resultado no período analisado e a sensibilidade do indicador ao risco; • Tempo de processamento do cálculo do indicador, verificando se está adequado ou está muito acima do esperado; • Viabilidade de cálculo do indicador, conforme a periodicidade definida. Após os testes, são procedidos os ajustes necessários no KRI e a análise é repetida até que o indicador esteja pronto para ser colocado em produção. A partir dos resultados dos testes, também deve-se definir: • Limites realísticos para os três níveis de tolerância, de forma que o gestor possua parâmetros para o monitoramento dos riscos. Os limites não devem ser alterados com muita frequência, possibilitando o estabelecimento de tendências do KRI; • Periodicidade e forma de coleta dos dados; • Ações preventivas ou corretivas que devem ser tomadas, os respectivos responsáveis e o nível de reporte, quando os KRIs atingirem os limites de cada nível de tolerância; • A melhor forma de utilizar os resultados dos KRIs, ou seja, se o número deverá ser comparado a séries históricas existentes ou a um padrão preestabelecido ou se deve oscilar dentro de um intervalo predefinido; • Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, período, funcionário, etc.). 5.4.2.7.5. Mensuração do KRI O objetivo desta etapa é obter os dados para cálculo dos KRIs. As atividades que compõe a etapa de mensuração são subdivididas nas seguintes categorias: Capturar dados automaticamente; Registrar dados manualmente. 5.4.2.7.5.1. Capturar dados automaticamente MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 34/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Inicialmente, é realizada a verificação e certificação de que todos os dados necessários para efetivar a carga para cálculo dos KRIs estão disponíveis e, em seguida, executado o procedimento para captura automática de cada indicador, de acordo com a respectiva periodicidade de coleta. Após o cálculo automático, é verificado se não ocorreu problemas na captura automática dos dados, por exemplo, por meio de relatórios de críticas. 5.4.2.7.5.2. Registrar dados manualmente Após a obtenção dos dados do KRI, deve-se alimentar as planilhas, em Excel, específicas para inclusão/importação dos dados no Sistema de Gestão de Riscos, de acordo com a periodicidade específica definida. Produtos Gerados: Atualização do sistema com as informações para cálculo dos KRIs. 5.4.2.7.6. Análise de resultados e reporte dos KRIs Após a implantação em produção e realização do cálculo do indicador, deve-se analisar o resultado da avaliação de riscos do processo e identificar aqueles que apresentarem grau de exposição extrema/ alta ou perdas relevantes materializadas. Para cada indicador, devem ser estabelecidos os seguintes aspectos: Ações preventivas ou corretivas que devem ser tomadas; Os respectivos responsáveis e o nível de reporte, quando os indicadores atingirem os limites de cada nível de tolerância; Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, período, colaborador, etc.). A Área de Governança, Conformidade e Riscos deve definir, junto ao agente de Gestão de Riscos responsável pelo indicador, a periodicidade com que esse deve ser revisado (pelo menos anualmente), para que as alterações que se fizerem necessárias nos processos, nos produtos, nos controles, nos sistemas e nos próprios riscos sejam refletidas. Periodicamente, os resultados dos indicadores são reportados para a Diretoria,conforme frequência estabelecida para cada risco e ao Comitê de Auditoria Estatutário e Conselho de Administração, de acordo com os respectivos calendários de reuniões. O reporte deve ser realizado através de relatórios que serão utilizados para acompanhamento contendo informações apresentadas de forma gráfica, com tendência do indicador (de alta, estável, baixa), a evolução histórica do indicador e, opcionalmente, utilização de mais de uma opção de visualização. Caso o nível de tolerância definido para o risco seja excedido, devem ser definidos planos de ação para tratamento do risco, considerando o resultado do indicador reportado pelo agente de Gestão de Riscos e Área de Governança, Conformidade e Riscos. Os responsáveis pela elaboração do plano de ação são os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos nos processos associados ao risco e da Área de Governança, Conformidade e Riscos. Produtos Gerados: Relatório de monitoramento dos KRIs; Periodicidade de revisão dos indicadores. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 35/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 5.4.2.8 Estabelecer níveis tolerância e apetite ao risco Os níveis de apetite a risco devem ser sugeridos pela Diretoria e agentes de Gestão de Riscos, sendo apreciados pelo Comitê de Auditoria Estatutário e aprovados pelo Conselho de Administração, considerando a característica de cada indicador. O nível de tolerância é definido individualmente para cada risco. Podem ser utilizadas informações já existentes na Companhia como, por exemplo, a materialidade ou impacto nos resultados. Com base na definição do apetite ao risco, devem ser aplicados os níveis de tolerância a cada risco encontrado. 5.4.3. ETAPA DE MONITORAMENTO CONTÍNUO E REPORTE DOS RISCOS Para que o gerenciamento de riscos seja efetivo, a Área de Governança, Conformidade e Riscos deve realizar o monitoramento das atividades realizadas para mitigar os riscos. As atividades que compõem essa etapa são subdivididas nas seguintes seções: Acompanhar e atualizar o status de implementação dos planos de ação; Emitir relatório de Gestão de Riscos. 5.4.3.1 Acompanhar e atualizar o status de implementação dos planos de ação A Área de Governança, Conformidade e Riscos deve definir a periodicidade com que será realizado o acompanhamento dos planos de ação, contatar o responsável pela implementação e questionar, de acordo com a prazo estabelecido, sobre o status das atividades. O status das ações (percentual de implementação) deve ser atualizado no Sistema de Gestão de Riscos. Deve ser procedida a análise do percentual de implementação dos planos de ação em relação aos prazos acordados para conclusão. Caso não seja possível implementá-los dentro dos prazos acordados, deve-se verificar as justificativas pelo não cumprimento e definir, em conjunto com o responsável uma nova data para conclusão da implantação. O novo prazo deve ser validado para implementação do plano de ação com o gestor do processo/área e, em seguida, deve ser registrado no Sistema Gestão de Riscos, adicionando as justificativas, agrupadas por categorias (em campo comentário), por exemplo: • Falta de recursos; • Prazo subestimado; • Alteração nos sistemas; • Mudança de estratégia. Produtos Gerados: Status do Plano de Ação. 5.4.3.2 Emitir relatório de Gestão de Riscos As informações pertinentes à Área de Governança, Conformidade e Riscos serão periodicamente reportadas à Alta Administração e conterão, ao menos: Mapa de riscos; Resumo dos riscos prioritários e suas avaliações finais; MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 36/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Resumo das principais deficiências de controle; Resultados dos indicadores de riscos e perdas materializadas; Resumo do status dos planos de ação; Responsáveis pela implementação dos planos de ação. 5.4.3.3 Emitir relatório de Controles Internos Os relatórios de controles internos da COPERGÁS serão emitidos periodicamente, contemplando o resultado do monitoramento de cada macroprocesso definido no MCP. As informações a serem reportadas devem contemplar: • Mapa de riscos; • Resumo dos riscos associados aos macroprocessos e suas respectivas avaliações finais; • Resumo das principais deficiências de controle (deficiências significantes e fraquezas materiais); • Histórico de perdas associadas a cada risco; • Resumo dos planos de ação. Esses relatórios serão submetidos a revisão do Comitê de Auditoria Estatutário da COPERGÁS. Produtos Gerados: Monitoramento de atividades pendentes; Relatórios pontuais com eventos de risco relevantes. 5.4.3.4 Emitir outros relatórios de acompanhamento dos gestores Relatórios específicos e pontuais devem ser estruturados e enviados tempestivamente aos gestores e Comitê de Auditoria Estatutário, com objetivo de acompanhar o andamento das atividades de auto avaliação, testes e status de implementação, bem como a ocorrência de eventos de risco relevantes. Para tal, é deve ser definida uma escala de reporte conforme período em que determinadas atividades estão em atraso. Por exemplo: • 30 dias após o vencimento do prazo: reiteração ao destinatário original; • 45 dias após o vencimento do prazo: reiteração ao destinatário original, com cópia para o superior; • 60 dias após o vencimento do prazo: reiteração ao superior, com cópia aos destinatários anteriormente cobrados; • 75 dias após o vencimento do prazo: cobrança direta à Diretoria Executiva da área envolvida; • 90 dias após o vencimento do prazo: comunicação ao Comitê de Auditoria Estatutário da COPERGÁS. Produtos Gerados: Monitoramento de atividades pendentes; Relatórios pontuais com eventos de risco relevantes. MANUAL DE PROCEDIMENTOS Identificação Versão Folha MGR-001 1 37/55 Título: Manual de Gestão de Riscos Manual de Procedimentos Documentos impressos não garantem a validade do mesmo. Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. Figura 16 COSO® ERM – Internal Environment 5.5. Metodologias 5.5.1. COSO® ERM A estrutura do COSO® ERM define que a implementação de uma estrutura de controles internos deve contemplar oito componentes inter-relacionados, considerando todas unidades, processos, subprocessos e atividades da Companhia. Esses oito componentes direcionam a forma como a Companhia pode elaborar o desenho, a implementação e a manutenção de sua estrutura de controles internos, contemplando quatro objetivos principais, a saber: Agregar valor aos acionistas através de objetivos ESTRATÉGICOS alinhados à missão/ visão da Companhia; Promover a eficácia e eficiência OPERACIONAIS; Assegurar a confiabilidade dos RELATÓRIOS FINANCEIROS; Manter CONFORMIDADE com as leis e regulamentações vigentes. A figura 15 representa ilustração da estrutura do COSO® ERM com seus oito componentes associados aos objetivos (Estratégicos, Operacionais, Relatórios Financeiros e Conformidade) e às unidades/divisões da Companhia: Fonte: COSO© ERM. Apresentamos, a seguir, um detalhamento dos principais aspectos relacionados a cada um dos componentes do COSO: 5.5.1.1 Ambiente de Controles Fonte: COSO© ERM. A visão da Companhia determina a cultura de seus colaboradores no tratamento de aspectos relacionados à sua estrutura de controles internos,
Compartilhar