5 -Manual-de-Riscos-Coperg--s

Prévia do material em texto

MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 1/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 
 
 
 
 
 
 
 
 
MANUAL DE GESTÃO DE RISCOS 
COPERGÁS 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 2/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Conteúdo 
 
1. OBJETIVO ....................................................................................................................................... 3 
2. CAMPO DE APLICAÇÃO ................................................................................................................. 4 
3. REFERÊNCIAS ................................................................................................................................ 5 
4. CONTEÚDO GERAL ........................................................................................................................ 6 
4.1. Tabela de figuras ....................................................................................................................... 6 
4.2. Símbolos e abreviações ............................................................................................................ 7 
4.3. Conceitos ..................................................................................................................................... 8 
4.3.1. Risco...................................................................................................................................... 8 
4.3.2. Risco de negócio ................................................................................................................. 8 
4.3.3. Gestão de risco corporativo .............................................................................................. 8 
4.3.4. Apetite, tolerância e exposição ao risco ......................................................................... 8 
4.3.5. Controles internos .............................................................................................................. 8 
4.3.6. Governança corporativa .................................................................................................... 9 
4.3.7. COSO® ERM ......................................................................................................................... 9 
4.3.8. Impacto e vulnerabilidade ................................................................................................. 9 
4.3.9. Fonte de risco ...................................................................................................................... 9 
4.3.10. KRI – Key Risk Indicator ................................................................................................... 9 
4.3.11. Premissa para avaliação de riscos ................................................................................... 9 
4.4. Plano de treinamento .............................................................................................................. 11 
4.4.1. Treinamento do staff da área de gestão de riscos ...................................................... 11 
4.4.2. Plano de conscientização da Organização e treinamento de novos funcionários .. 12 
4.5. Plano de comunicação ............................................................................................................. 13 
5. CONTEÚDO ESPECÍFICO ............................................................................................................ 14 
5.1. Missão e visão da gestão de riscos ....................................................................................... 14 
5.1.1. Missão da gestão de riscos da COPERGÁS ................................................................... 14 
5.1.2. Visão da gestão de riscos da COPERGÁS ..................................................................... 14 
5.2. Estrutura organizacional ......................................................................................................... 15 
5.3. Competências e responsabilidades ....................................................................................... 16 
5.4. Processo de gestão integrada de riscos ............................................................................... 19 
5.4.1. Etapa de identificação e avaliação de riscos ................................................................ 20 
5.4.2. Etapa de resposta e mensuração de riscos (tratamento de riscos) ......................... 29 
5.4.3. Etapa de monitoramento contínuo e reporte dos riscos ............................................ 35 
5.5. Metodologias ............................................................................................................................. 37 
5.5.1. COSO® ERM ....................................................................................................................... 37 
5.5.2. ABNT ISO 31000:2009 .................................................................................................... 45 
ANEXOS ............................................................................................................................................... 50 
ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES ......................................................... 51 
ANEXO II – DICIONÁRIO DE RISCOS ......................................................................................... 54 
 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 3/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
1. OBJETIVO 
Definir orientações gerais para o processo de gestão integrada de riscos, de forma a assegurar que: 
 Os riscos de negócio inerentes às atividades da COPERGÁS sejam identificados, analisados, 
avaliados e um plano de tratamento seja definido. 
 A estrutura de controles internos seja continuamente revisada, considerando os riscos 
existentes nos processos de negócio, minimizando os custos associados a riscos não 
controlados; 
 Os potenciais conflitos de interesse sejam identificados e os riscos associados sejam 
minimizados, através da implementação de medidas para segregação de funções e/ou 
monitoramento das atividades; 
 Todos os empregados compreendam claramente os objetivos do processo de gestão de 
riscos e os papéis, as funções e as responsabilidades atribuídas aos diversos níveis da 
Companhia; 
 O fluxo de reporte e limites de tolerância estejam previamente aprovados pela Alta 
Administração; 
 Os planos de resposta aos riscos sejam tempestivamente monitorados pelas instâncias 
responsáveis na Companhia; 
 Os objetivos estratégicos da Companhia sejam plenamente atendidos; 
 A COPERGÁS atenda aos critérios da Lei nº 13.303/16 
 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 4/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
2. CAMPO DE APLICAÇÃO 
Este manual aplica-se a todos os níveis organizacionais da Companhia, os quais são integrantes do 
processo de gerenciamento de riscos, direta ou indiretamente. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 5/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
3. REFERÊNCIAS 
- Código de Conduta e Integridade da COPERGÁS;- Plano Anual de Auditoria Interna. 
 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 6/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
4. CONTEÚDO GERAL 
4.1. Tabela de figuras 
FIGURA 1 LINHAS DE DEFESA DO RISCO .......................................................................................... 15 
FIGURA 2 ESTRUTURA ORGANIZACIONAL DA GESTÃO DE RISCOS ............................................................. 15 
FIGURA 3 PROCESSO DE GESTÃO INTEGRADA DE RISCOS ...................................................................... 19 
FIGURA 4 COMPONENTES DO PROCESSO DE GESTÃO DE RISCOS .............................................................. 20 
FIGURA 5 LEGENDA DO DICIONÁRIO DE RISCOS ................................................................................. 21 
FIGURA 6 DICIONÁRIO DE RISCOS ................................................................................................ 21 
FIGURA 7 MODELO DE CLASSIFICAÇÃO DE MACROPROCESSOS (MPC) ...................................................... 22 
FIGURA 8 MAPA DE RISCOS ........................................................................................................ 24 
FIGURA 9 CRITÉRIOS PARA AVALIAÇÃO DO IMPACTO ............................................................................ 25 
FIGURA 10 PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................... 25 
FIGURA 11 METODOLOGIA PARA AVALIAÇÃO DE RISCOS ....................................................................... 26 
FIGURA 12 CRITÉRIOS PARA AVALIAÇÃO DA VULNERABILIDADE ............................................................... 27 
FIGURA 13 PROCESSO DE AVALIAÇÃO DE RISCOS NOS PROCESSOS .......................................................... 27 
FIGURA 14 METODOLOGIA PARA AVALIAÇÃO DE RISCOS NOS PROCESSOS ................................................... 27 
FIGURA 15 COSO® ERM – INTERNATIONAL INTEGRATED FRAMEWORK .................................................... 37 
FIGURA 16 COSO® ERM – INTERNAL ENVIRONMENT ......................................................................... 37 
FIGURA 17 COSO® ERM – OBJECTIVE SETTING............................................................................... 38 
FIGURA 18 COSO® ERM – EVENT IDENTIFICATION ........................................................................... 39 
FIGURA 19 COSO® ERM – RISK ASSESSMENT ................................................................................ 39 
FIGURA 20 COSO® ERM – RISK RESPONSE ................................................................................... 40 
FIGURA 21 COSO® ERM – CONTROL ACTIVITIES ............................................................................. 41 
FIGURA 22 COSO® ERM – INFORMATION & COMMUNICATION .............................................................. 42 
FIGURA 23 COSO® ERM – MONITORING ....................................................................................... 43 
FIGURA 24 ISO 31000:2009 – PROCESSO DE GESTÃO DE RISCOS ........................................................ 45 
FIGURA 25 ISO 31000:2009 – COMUNICAÇÃO E CONSULTA ............................................................... 45 
FIGURA 26 ISO 31000:2009 – ESTABELECIMENTO DO CONTEXTO......................................................... 46 
FIGURA 27 ISO 31000:2009 – PROCESSO DE AVALIAÇÃO DE RISCOS .................................................... 46 
FIGURA 28 ISO 31000:2009 – TRATAMENTO DE RISCOS ................................................................... 48 
FIGURA 29 ISO 31000:2009 – MONITORAMENTO E ANÁLISE CRÍTICA .................................................... 48 
 
 
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422761
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422762
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422763
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422764
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422765
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422766
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422767
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422768
file:///C:/Users/geandrade/Documents/Clientes/2017/7.%20CAGECE/4.%20Estruturação%20da%20Gestão%20de%20Riscos/Cagece_Manual%20de%20Gestão%20de%20Riscos%20(Serviços%206%20e%208)_revPA.docx%23_Toc498422769
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 7/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
4.2. Símbolos e abreviações 
ABNT – Associação Brasileira de Normas Técnicas. 
AGR – Análise Geral de Riscos. 
COSO® ERM – Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk 
Management. 
COPERGÁS – Companhia Pernambucana de Gás. 
IBGC – Instituto Brasileiro de Governança Corporativa. 
ISO – International Organization for Standardization. 
KRI – Key Risk Indicator. 
MCP – Modelo de Classificação de Processos. 
 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 8/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
4.3. Conceitos 
4.3.1. RISCO 
Conforme definido no COSO® ERM, risco é a possibilidade de ocorrência de um evento, oriunda de 
fontes internas ou externas, capaz de afetar adversamente o atendimento dos objetivos da 
Companhia. 
 
É o efeito da incerteza nos objetivos. [ABNT ISO GUIA 73:2009, definição 1.1] 
 
4.3.2. RISCO DE NEGÓCIO 
É a exposição a impactos negativos resultantes de decisões ou eventos não esperados de natureza 
estratégica, operacional, financeira, legal e outros decorrentes da maneira pela qual a organização 
busca atingir os seus objetivos. 
 
4.3.3. GESTÃO DE RISCO CORPORATIVO 
É um conceito de avaliação e gerenciamento de incertezas (“riscos”) enfrentadas pela Companhia 
por meio de um enfoque estruturado de controles que alinha estratégia, processos, pessoas, 
tecnologia e conhecimentos, objetivando a preservação e criação de valor aos stakeholders. 
Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. [ABNT 
ISO GUIA 73:2009, definição 2.1] 
4.3.4. APETITE, TOLERÂNCIA E EXPOSIÇÃO AO RISCO 
Apetite ao risco é a exposição a risco que a Companhia está disposta a aceitar para atingir suas 
metas e objetivos, preservar e criar valor,estando diretamente relacionada à sua estratégia. 
[COSO® ERM] 
Quantidade e tipos de riscos que uma organização está preparada para buscar ou reter. [ABNT ISO 
GUIA 73:2009, definição 3.7.1.2] 
O apetite ao risco reflete a filosofia de gerenciamento de riscos da Companhia. 
A tolerância ao risco é o nível aceitável de variação do apetite, considerando o atendimento de 
objetivos específicos da Companhia. [COSO® ERM] 
Disposição da organização ou parte interessada em suportar o risco após o seu tratamento, a fim de 
atingir os seus objetivos. [ABNT ISO GUIA 73:2009, definição 3.7.1.3] 
Ao contrário do apetite ao risco, que é ampla, a tolerância ao risco é tática e específica. Isto é, ela 
deve ser expressa em unidades mensuráveis, aplicável em todos os níveis da organização. 
 
A exposição ao risco é determinada considerando a avaliação do risco, pela combinação do 
impacto e vulnerabilidade; deve estar dentro do apetite/tolerância a risco definidos pela Companhia. 
 
Medida em que uma organização ou parte interessada está sujeita à um evento. [ABNT ISO GUIA 
73:2009, definição 3.6.1.2] 
 
4.3.5. CONTROLES INTERNOS 
Controle interno é definido como um processo, executado pela Alta Administração, gerência ou 
outros colaboradores da Companhia, considerando políticas, procedimentos, atividades e 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 9/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
mecanismos designados para proporcionar uma razoável segurança para realização dos objetivos de 
negócio. Um processo conduzido pela estrutura de governança, pela administração e por outros 
profissionais da entidade, e desenvolvido para proporcionar garantia (segurança) razoável com 
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. [COSO® 
ERM 2016] 
4.3.6. GOVERNANÇA CORPORATIVA 
Conforme definido pelo Instituto Brasileiro de Governança Corporativa (IBGC), governança 
corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, 
envolvendo os relacionamentos entre acionistas, Conselho de Administração, Diretoria e órgãos de 
controle. As boas práticas de governança corporativa convertem princípios em recomendações 
objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da Companhia, 
facilitando seu acesso ao capital e contribuindo para a sua sustentabilidade. 
4.3.7. COSO® ERM 
Modelo internacional de controles internos composto por oito camadas (Ambiente Interno, Definição 
de Objetivos, Identificação dos Riscos, Avaliação do Risco, Tratamento do Risco, Ambiente de 
Controle, Informação e Comunicação e Monitoramento). É uma iniciativa conjunta de cinco 
organizações do setor privado que se propõe a liderar a geração de conhecimento por meio de 
desenvolvimento de estruturas e diretrizes sobre controles internos, gerenciamento de riscos 
corporativos e prevenção de fraudes. [COSO® ERM 2016] 
4.3.8. IMPACTO E VULNERABILIDADE 
Impacto: é a extensão a que a Companhia pode estar exposta em relação aos objetivos de 
negócios, antes e/ou depois da avaliação do respectivo risco, podendo ser de ordem tangível ou 
intangível. 
Vulnerabilidade: considera a atual estrutura de controles da Companhia: técnicas atuais para 
mitigação de riscos, eficiência e eficácia de controles, histórico e impactos anteriores de riscos, 
complexidade do gerenciamento de riscos e nível de crescimento e contração. É a extensão à qual a 
Companhia pode estar exposta em relação aos objetivos de negócios ou desprotegida em relação 
aos impactos negativos depois que os controles existentes foram avaliados. Propriedades intrínsecas 
de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma 
consequência. [ABNT ISO GUIA 73:2009, definição 3.6.1.6] 
 
4.3.9. FONTE DE RISCO 
Situações e/ou circunstâncias que podem levar à ocorrência, ou ao aumento da probabilidade de 
ocorrência, de uma situação de risco. Elemento que, individualmente ou combinado, tem o potencial 
intrínseco para dar origem ao risco. [ABNT ISO GUIA 73:2009, definição 3.5.1.2] 
4.3.10. KRI – KEY RISK INDICATOR 
KRI é uma medida utilizada para avaliar como o risco se comporta e para fornecer alertas de forma 
rápida e antecipada quanto à exposição, seu potencial de ganho ou perda futura, ou seja, a 
possibilidade de impacto positivo ou negativo do risco nos processos de negócio da Companhia. 
 
4.3.11. PREMISSA PARA AVALIAÇÃO DE RISCOS 
Quanto maior impacto e vulnerabilidade, maior é o nível de exposição ao risco. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 10/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 11/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
4.4. Plano de treinamento 
A seguir descrevemos o plano de treinamento a ser adotado pela COPERGÁS, a fim de assegurar 
que: 
• A cultura de Gestão de Riscos seja disseminada por toda a Companhia, atingindo as 
diversas áreas; 
• Todos os funcionários compreendam claramente os objetivos do processo de Gestão de 
Riscos, bem como os papéis, funções e as responsabilidades atribuídas aos diversos níveis 
hierárquicos da Companhia; 
• Todos os funcionários tenham conhecimento dos meios de comunicação disponíveis para o 
processo de Gestão de Riscos, conforme o plano de comunicação definido. 
 
O programa de treinamento deverá abranger todos os funcionários da COPERGÁS, observando seu 
grau de participação nas funções de Gestão de Riscos e será estruturado em três etapas distintas, 
quais sejam: 
 
4.4.1. TREINAMENTO DO STAFF DA ÁREA DE GESTÃO DE RISCOS 
Os funcionários designados a atuarem na Área de Governança, Conformidade e Riscos devem 
receber treinamento específico e contínuo em Gestão de Riscos, atendendo a cursos, palestras e 
seminários específicos, abordando os seguintes assuntos: 
• Política de Gestão de Riscos da COPERGÁS; 
• Conceitos de Gestão Integrada de Riscos; 
• Critérios e premissas para avaliação de riscos e controles internos; 
• Explicação sobre o funcionamento da metodologia e ferramentas utilizadas para o processo 
de Gestão de Riscos da COPERGÁS, contemplando: 
− Modelo de Classificação de Processos – MCP; 
− Linguagem Comum de Riscos – LCR; 
− Sistema informatizado para Gestão de Riscos; 
− Modelo de autoavaliação de controles (Control Self Assessment). 
• Procedimentos para elaboração e monitoramento de planos de remediação/mitigação de 
riscos; 
• Legislação aplicável às atividades da Companhia (saneamento, regulatória, ambiental, 
fiscal, etc.); 
• Segurança da informação; e 
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo 
com o plano de comunicação. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 12/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
4.4.2. PLANO DE CONSCIENTIZAÇÃO DA ORGANIZAÇÃO E TREINAMENTO DE NOVOS FUNCIONÁRIOS 
O plano de conscientização dos empregados quanto à importância do processo de Gestão de 
Riscos deverá ser realizado no início das atividades de Gestão de Riscos e deve ser repetido 
sempre que a Alta Administração julgar necessário. 
 
Esta etapa consiste na realização de palestras paragrupos de empregados, a serem ministradas 
por membros da Área de Governança, Conformidade e Riscos. 
 
Os seguintes tópicos deverão ser abordados nas palestras: 
• Definição dos conceitos de risco e Gestão de Riscos; 
• Apresentação da missão e visão do processo de Gestão de Riscos; 
• Conscientização sobre a importância da Gestão de Riscos; 
• Apresentação da composição do Comitê de Auditoria Estatutário; 
• Descrição da estrutura criada na COPERGÁS para desempenhar as atividades e os 
empregados envolvidos; 
• Explicação acerca da importância da participação das demais áreas no processo de Gestão 
de Riscos; 
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo 
com o plano de comunicação; e 
• Esclarecimento de eventuais dúvidas. 
 
Semestralmente, a área de Gestão de Pessoas deve informar à Área de Governança, Conformidade 
e Riscos todos os empregados admitidos no último período que não tenham participado do plano de 
conscientização. Esses funcionários devem assistir à palestra, conforme avaliação da Área de 
Governança, Conformidade e Riscos. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 13/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
4.5. Plano de comunicação 
O Plano de Comunicação deve atender a todos os empregados da Companhia, observando o grau de 
responsabilidade e envolvimento no processo de Gestão de Riscos de cada um. 
 
O Plano de Comunicação deve ser estabelecido para assegurar que: 
• Todas as áreas compreendam claramente o papel, os objetivos, as funções e as 
responsabilidades da Área de Governança, Conformidade e Riscos, enquanto função de 
controle independente dentro da COPERGÁS, bem como seus respectivos deveres e 
responsabilidades para o entendimento e cumprimento das políticas definidas, das leis e dos 
regulamentos existentes. 
• O pessoal chave compreenda seu papel de atuação e suas responsabilidades no processo de 
Gestão de Riscos. 
• Os planos de ação sejam devidamente implementados, com o intuito de minimizar o risco 
dos procedimentos da Companhia não estarem em conformidade com as leis e os 
regulamentos (internos e externos), especialmente nos casos em que haja exposição a 
multas e/ou sanções de órgãos reguladores. 
 
Alguns exemplos de comunicação podem ser adotados pela COPERGÁS. Abaixo estão descritas 
algumas opções: 
• Jornal interno/ TVs Internas – divulgação bimestral de notícias sobre o processo Gestão de 
Riscos, sobre as atividades desempenhadas, as áreas envolvidas e os principais resultados. 
Divulgação permanente de informações relevantes e atualizadas sobre a Área de 
Governança, Conformidade e Riscos, tais como usuários-chave, objetivo, missão, função, 
áreas de atuação, principais contatos e esclarecimento de dúvidas frequentes (FAQs); 
• Correio eletrônico e intranet – divulgação de endereço de correio eletrônico para a 
comunicação entre os demais funcionários da COPERGÁS e a Gestão de Riscos. 
• Alertas de pop-ups nos computadores da Companhia – disseminação de tópicos relevantes 
acerca da Gestão de Riscos, além da possibilidade de lançamento de pesquisas, 
esclarecimento de dúvidas frequentes (FAQs) e/ou lançamento de quiz sobre fatos 
importantes (highlights), curiosidades, resultados e tendências sobre a gestão de riscos. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 14/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
5. CONTEÚDO ESPECÍFICO 
5.1. Missão e visão da gestão de riscos 
5.1.1. MISSÃO DA GESTÃO DE RISCOS DA COPERGÁS 
Amparar o desenvolvimento sustentável da Companhia frente, a partir da aplicação de metodologia 
estruturada para o gerenciamento de riscos corporativos, favorecendo maior assertividade do 
processo decisório da Alta Administração e internalizando a cultura de gestão de riscos por meio de 
uma linguagem comum. 
5.1.2. VISÃO DA GESTÃO DE RISCOS DA COPERGÁS 
Garantir a implantação efetiva do processo de gestão de riscos e a consolidação do tema em todos 
os colaboradores da Companhia até 2020. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 15/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
5.2. Estrutura organizacional 
A distribuição de responsabilidades no processo de gestão de riscos deve contemplar agentes nas 
três linhas de defesa, conforme modelo sugerido pelo IIA – Instituto dos Auditores Internos, a 
saber: 
 
Figura 1 Linhas de Defesa do Risco 
 
Fonte: Adaptação da Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e 
Controles. IIA (2013) 
 
A seguir, apresentamos a estrutura de governança corporativa para a Gestão de Riscos proposta e 
seus respectivos níveis hierárquicos: 
 
Figura 2 Estrutura organizacional da Gestão de Riscos 
 
Fonte: Elaborado por Deloitte© 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 16/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
5.3. Competências e responsabilidades 
A Gestão de Riscos na COPERGÁS é realizada através de uma estrutura coordenada pelo Comitê de 
Auditoria Estatutário, com o envolvimento ativo de dois atores principais: Área de Governança, 
Conformidade e Riscos e gestores das áreas de negócio, conforme descrição a seguir: 
Comitê de Auditoria Estatutário: atividades de aprovação visando assegurar o equilíbrio, a 
transparência e a integridade das informações, diante do cumprimento das suas principais 
atribuições, a saber: 
 
I - Aprovar a metodologia e os documentos chave (exemplos: Política de Gestão de Riscos, 
Manual de Gestão de Riscos, ISO 31000 etc.) a serem utilizados para a condução do processo 
de Gestão de Riscos junto ao Comitê de auditoria estatutário e ricos e o Conselho 
Administrativo; 
II - Incentivar o cumprimento da Política de Gestão de Riscos e o Manual de Gestão de Riscos; 
III - Analisar o apetite ao risco e submete-lo para aprovação do Conselho de Administração. 
IV - Submeter periodicamente ao Conselho de Administração relatório sobre os resultados do 
monitoramento dos riscos inerentes às atividades da Companhia e que possam afetar o 
atendimento aos seus objetivos; 
V - Acompanhar de forma sistemática os Indicadores de Riscos, com o objetivo de garantir 
sua eficácia; e 
VI - Avaliar a efetividade do processo de gestão de riscos, principalmente no tocante à 
definição, revisão e monitoramento dos riscos priorizados. 
 
Área de Governança, Conformidade e Riscos: atividades de planejamento e gestão de riscos 
corporativos da Companhia, visando garantir a execução da política de riscos aprovada, 
através da aceitação ou redução dos riscos estratégicos, financeiros, operacionais e legais. 
Monitoramento do ambiente de controles internos e acompanhamento do nível de 
implementação das melhorias visando manter os riscos no nível definido pela Alta 
Administração. A Área de Governança, Conformidade e Riscos é responsável pelas seguintes 
atividades na COPERGÁS: 
 
I - Realizar estudos e análise qualitativa e quantitativa de riscos estratégicos, financeiros, 
operacionais e legais; 
II - Propor e revisar metodologia de avaliação, apetite, tolerância e gestão de riscos 
corporativos; 
III - Planejar os processos e riscos a serem mapeados na ótica de identificação e 
aperfeiçoamentoda estrutura de controles; 
IV - Identificar e monitorar riscos, avaliando vulnerabilidade e impacto da ocorrência, 
propondo medidas para controle e priorização dos riscos; 
V - Acompanhar a implementação dos planos de ação estabelecidos provenientes dos 
trabalhos de auditoria interna e gestão de riscos; 
VI - Realizar articulação e dar suporte às demais áreas da empresa, auxiliando na definição 
dos responsáveis primários dos riscos na sua gestão de riscos; 
VII - Assessorar os responsáveis primários dos riscos quanto à exposição e tolerância ao risco, 
bem como à definição e execução de ações mitigatórias de controles internos e respostas aos 
eventos; 
VIII - Revisar relatório de análise de riscos contendo classificação, plano de resposta e 
estratégias de monitoramento; 
IX - Disseminar linguagem comum de riscos na Companhia visando uniformização e 
padronização dos conceitos; 
X - Disseminar cultura de controles internos com base em modelos reconhecidos 
internacionalmente (ex.: COSO®); 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 17/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
XI - Conduzir processos de autoavaliação de controles; 
XII - Manter uma base de dados de riscos e controles internos relacionados aos processos de 
negócio da Companhia no SGI (Sistema de Gestão Integrada); 
XIII - Realizar reportes à Alta Administração e Comitê de Auditoria Estatutário quanto ao 
cenário de riscos da Companhia; 
XIV - Apontar ao Comitê de Auditoria Estatutário ou Comitê de Ética a ocorrência de não 
conformidades, falhas, desvios, irregularidades e/ou ilegalidades observadas; 
XV - Realizar a gestão do ambiente de controles internos, de acordo com políticas, 
certificações legais, regulatórias e demais diretrizes para mitigar o risco; 
XVI - Orientar e desenhar controles internos junto às áreas da Companhia, alinhados ao 
processo de avaliação dos riscos para implementação e priorização das ações mitigatórias; 
XVII - Dar suporte no monitoramento e avaliação dos controles internos dos processos de 
negócio (financeiros, corporativos, tecnológicos, operacionais, etc) para tomada de decisão e 
a fim de garantir a conformidade das práticas de gestão de riscos; 
XVIII - Assegurar e acompanhar revisão e atualização periódica dos controles internos 
implementados; 
XIX - Assessorar a auditoria interna e externa no levantamento de informações e 
documentações solicitados para fins de auditoria; 
XX - Define e propõe metodologias para avaliação e acompanhamento dos riscos de 
Compliance; 
XXI - Consolida os riscos de Compliance e ações mitigantes; 
XXII - Realiza ações de promoção da cultura interna de Compliance; 
XXIII - Coordena as melhorias de processos para mitigar os riscos de Compliance; e 
XXIV - Monitora os riscos de Compliance. 
 
É permitido à Área de Governança, Conformidade e Riscos o acesso a todas as áreas de negócio que 
compõem a COPERGÁS e a seus respectivos dados e informações. Entretanto, não está investida de 
autoridade executiva sobre nenhuma das áreas. 
 
Gestores das áreas de negócio (responsáveis primários ou donos dos riscos – risk owners): 
responsáveis primários pela Gestão de Riscos, os gestores das diversas áreas de negócio da 
COPERGÁS atuam ativamente neste processo, através das seguintes ações: 
 
I - Ter conhecimento prévio e efetuar o monitoramento dos riscos e controles, direta ou 
indiretamente, envolvidos nas operações sob sua gestão; 
II - Identificar as áreas, causas e consequências associadas aos riscos; 
III - Assumir os riscos dentro dos limites de tolerância definidos pelo Comitê de Auditoria 
Estatutário; 
IV - Definir as ações mitigatórias em conjunto com a Área de Governança, Conformidade e 
Riscos; 
V - Buscar os recursos necessários para mitigar os riscos; 
VI - Participar da avaliação do apetite e limite de tolerância dos riscos; 
VII - Executar suas atividades e decisões em linha com as premissas desta política ou outras 
diretrizes da COPERGÁS, de forma a minimizar a exposição da Companhia a riscos; 
VIII - Reportar periodicamente à Área de Governança, Conformidade e Riscos ou ao Comitê de 
Auditoria Estatutário dos eventos relevantes, que afetem o grau de exposição da COPERGÁS a 
riscos; e 
IX - Assegurar a implantação dos planos de resposta e monitoramento dos riscos envolvidos 
nas operações sob sua gestão, de acordo com as deliberações tomadas em conjunto com a 
Área de Governança, Conformidade e Riscos, Comitê de Auditoria Estatutário ou Alta 
Administração. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 18/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
O Anexo I – Matriz de papéis e responsabilidades do presente Manual contém a relação das 
principais atividades do processo de Gestão de Riscos e os respectivos papéis e responsabilidades 
dos principais atores do processo, a saber: Área de Governança, Conformidade e Riscos, Gestores 
de Negócio, Comitê de Auditoria Estatutário, Diretoria Executiva e Conselho de Administração. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 19/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
5.4. Processo de gestão integrada de riscos 
O processo de gestão integrada de riscos foi desenvolvido conforme apresentado a seguir: 
 
Figura 3 Processo de gestão integrada de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
Abaixo segue breve descrição dos nove princípios fundamentais da gestão integrada de riscos: 
• Definição e entendimento dos riscos: linguagem comum de riscos, que direciona tanto a 
criação como a preservação de valor à empresa, e que seja consistente em todas as 
Unidades de Negócio. 
• Utilização de padrões e metodologias: metodologia de gestão de riscos suportada por 
um padrão reconhecido (ex.: COSO® ERM, ISO 31000) para identificação, resposta e 
gerenciamento dos riscos. 
• Papéis e responsabilidade: papéis, responsabilidades e limites de alçada claramente 
definidos e alinhados à estrutura de profissionais da empresa. 
• Envolvimento da Alta Administração: órgãos de gestão (ex.: Conselho de 
Administração, Comitê de Auditoria e Riscos) atuando com transparência e diligência nas 
práticas de gestão de riscos. 
• Responsabilidades da Alta Administração: grupo executivo responsável pelo desenho, 
implantação e manutenção de um programa estruturado de gestão de riscos. 
• Infraestrutura para gestão de riscos: infraestrutura única de riscos para orientar e 
suportar todas as unidades e áreas de negócio em suas responsabilidades relacionadas a 
riscos. 
• Avaliação periódica do processo: unidades de negócio diretamente responsáveis pelo 
desempenho de suas estruturas, gerenciamento dos riscos associados a elas e 
comunicação/reporte à Administração. 
• Responsabilidades das áreas de negócio: outras áreas asseguram, monitoram e 
reportam a efetividade do processo de gestão de riscos da empresa aos órgãos de gestão. 
• Suporte de funções pervasivas: determinadas áreas possuem um impacto pervasivo na 
empresa (ex.: TI) e, além de prover suporte às unidades de negócio em relação ao 
programa de gestão de riscos, potencializam o sucesso do gerenciamento quando 
estrategicamente alinhados aos elementos do programa de riscos. 
 
O processo de gerenciamento de riscos da COPERGÁS considera os seguintes componentes: 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 20/55 
Título: Manual de Gestão de Riscos 
Manualde Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Figura 4 Componentes do processo de gestão de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
5.4.1. ETAPA DE IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS 
5.4.1.1 Análise Geral de Riscos (AGR) 
A AGR reflete, de maneira estruturada, as percepções dos executivos em relação aos principais 
aspectos de gestão e riscos envolvidos nas operações, áreas/processos de negócio e características 
da Companhia. 
 
As origens internas ou externas, relacionadas às estratégias e aos objetivos de negócio da 
Companhia são mapeadas e monitoradas para assegurar que quaisquer materializações que venham 
a ocorrer sejam conhecidas e geridas em um nível aceitável. 
 
A AGR deverá ser atualizada periodicamente (a cada 2 anos, no máximo), a fim de identificar 
possíveis alterações no ambiente de negócios que possam afetar o atendimento aos objetivos de 
negócio. Quaisquer mudanças identificadas devem ser registradas no documento de análise de 
riscos corporativos da Companhia, conforme metodologia detalhada no tópico seguinte. 
 
A análise Geral dos Riscos corporativos é composta pelos seguintes componentes: 
5.4.1.2 Dicionário de riscos 
O Dicionário de Riscos Corporativos classifica e categoriza os riscos em uma linguagem comum, 
considerando as características e o ambiente de negócio da empresa. 
O Dicionário de Riscos Corporativos da COPERGÁS contempla informações segregadas em quatro 
principais temas, quais sejam: 
 Estratégico 
 Financeiro 
 Operacional 
 Legal 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 21/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Cada tema está segregado em grupos e em cada grupo estão as categorias de riscos pertinentes à 
COPERGÁS. 
Figura 5 Legenda do dicionário de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
O universo de riscos aplicáveis à COPERGÁS está segmentado da seguinte forma: 
Figura 6 Dicionário de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
O detalhamento contendo a definição de cada categoria encontra-se no Anexo II – Dicionário de 
riscos. 
 
Cabe a Área de Governança, Conformidade e Riscos atualizar o dicionário de riscos sempre que seja 
identificado um novo risco que não possui vínculo à uma categoria existente. 
5.4.1.3 Modelo de Classificação de Macroprocesso (MCP) 
O MCP é utilizado para categorizar os macroprocessos-chave da Companhia e auxiliá-la na 
padronização e priorização dos controles necessários para mitigação dos riscos associados. No caso 
da COPERGÁS, a existência da Cadeia de Valor desenhada possibilitou a utilização desse 
instrumento como MCP. 
As origens de risco identificadas são vinculadas aos macroprocessos existentes na Companhia. 
Dessa forma, caso sejam identificados novos processos ou realizadas novas auditorias em 
processos, o modelo é atualizado. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 22/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 
Os macroprocessos da COPERGÁS estão segmentados nas seguintes camadas da Cadeia de Valor: 
 
− Macroprocessos Finalísticos: refletem a atividade fim da Companhia (Core business). 
− Macroprocessos de Apoio: suportam diretamente a execução dos macroprocessos 
finalísticos, permitindo a gestão adequado dos aspectos mais relevantes e que impactam 
diretamente a operação da Companhia. 
− Macroprocessos Governança e Estratégia: propiciam a gestão estratégica e governança 
corporativa da Companhia. 
A seguir apresentamos o MCP da COPERGÁS, reflexo da sua Cadeia de Valor: 
 
Figura 7 Modelo de Classificação de Macroprocessos (MCP) 
 
Fonte: Elaborado por Deloitte©. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 23/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
5.4.1.4 Identificação de eventos 
Para identificar eventos, a Área de Governança, Conformidade e Riscos utilizará os seguintes meios: 
 Ferramentas de análise de risco; 
 Entrevistas com a alta administração e com gestores indicados pela Diretoria Executiva; 
 Utilização de questionários específicos para os principais executivos e gestores indicados; 
 Avaliação dos resultados de indicadores de riscos monitorados; 
 Resultados de trabalhos de auditorias, interna e externa; 
 Resultados de trabalhos de compliance; 
 Resultados de trabalhos de mapeamento de riscos e controles. 
 
Para execução dessa fase, a Área de Governança, Conformidade e Riscos deve utilizar roteiro 
entrevista como ferramenta específica para coleta de informações, considerando as categorias de 
risco pertinentes à área do executivo avaliado, além de perguntas aplicáveis à toda a Companhia, a 
fim de identificar novas origens, atualizar o status das já existentes, bem como identificar ações que 
estão sendo tomadas para mitigação do risco. 
 
Paralelamente, pode ser aplicada a coleta de dados e informações através de questionários com o 
propósito de levantamento de atenuantes e agravantes dos riscos junto aos executivos indicados 
pela Alta Administração. 
 
Em ambas abordagens (entrevista e questionário), nesta etapa, será capturada a percepção de cada 
executivo acerca dos controles (vulnerabilidade – atenuantes e agravantes) e relevância (impacto) 
sobre cada risco de negócio. 
 
A Área de Governança, Conformidade e Riscos deve compilar os resultados definidos, consolidando 
as origens correlacionadas aos riscos de negócio provenientes das entrevistas e das ferramentas 
usadas (questionário), cadastrando as informações na base de documentação e controle dos riscos e 
classificando as informações apontadas enquanto atenuante ou agravante para cada categoria de 
risco. 
5.4.1.5 Mapa de riscos 
O mapa de riscos demonstra a exposição de cada risco, ou seja, sua classificação conforme impacto 
e vulnerabilidade, considerando a percepção dos executivos da Companhia, com base nas principais 
conclusões sobre o grau de severidade (indicador de impacto) e grau de eficácia dos controles 
(indicador de vulnerabilidade) em operação na Companhia. 
O grau de exposição deverá ser graduado em quatro níveis, definidos com base no impacto e na 
vulnerabilidade, utilizando-se da escala a seguir: 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 24/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Figura 8 Mapa de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
O enquadramento da exposição ao risco se refere à extensão à qual a Companhia está exposta ou 
desprotegida em relação aos impactos negativos após avaliação dos controles existentes. 
5.4.1.6 Critérios para avaliação do nível de exposição do risco 
5.4.1.6.1 Avaliação do impacto 
Na dimensão de impacto alguns critérios para avaliação qualitativa e quantitativa são postos 
como premissas, a saber: 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 25/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Figura 9 Critérios para avaliação do impacto 
 
Fonte: Elaborado por Deloitte©. 
 
O apetite ao risco da Alta Administraçãofoi estabelecido com base em percentuais atrelados à 
Receita Operacional Líquida (ROL), conforme coluna “Critérios para avaliação quantitativa” da Figura 
8 Critérios para avaliação do impacto. Contudo, o critério e os percentuais podem ser redefinidos 
pela Alta Administração e Comitê de Auditoria Estatutário, conforme processo estruturado de 
aprovação formal anualmente. 
 
O processo de avaliação de riscos consiste no desenvolvimento das seguintes etapas, que serão 
detalhadas em seguida: 
Figura 10 Processo de avaliação de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
A classificação do impacto (Extremo, Alto, Médio ou Baixo) deve partir da definição do tipo de 
análise, ou seja, se o impacto será mensurado de forma quantitativa (aplicável quando da 
disponibilidade de dados históricos de materialização do risco ou do valor em risco) ou qualitativa 
(aplicável quando da indisponibilidade de histórico de materialização ou precisão do valor em risco). 
Nesta última perspectiva, é recomendável usar o “pior cenário” (worst case) e o julgamento 
profissional para determinar a avaliação sumária do impacto. 
 
Neste sentido, a metodologia para cálculo do impacto considera os seguintes critérios/qualificadores 
e pesos, respectivamente, para fins de ponderação: 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 26/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Figura 11 Metodologia para avaliação de riscos 
 
Fonte: Elaborado por Deloitte©. 
 
Caso a categoria de risco seja avaliada exclusivamente de forma qualitativa, dada a 
indisponibilidade de histórico de materialização do risco ou do valor em risco, serão ponderados os 
pesos das variáveis destacados na Análise Qualitativa da Figura 11, que totalizam 100%. 
 
Já no caso da categoria de risco que dispuser do histórico de materialização ou valor em risco de 
forma aderente e concisa, a análise será quantitativa e o valor financeiro será considerado em sua 
totalidade para fins de enquadramento na escala de impacto (Baixo, Médio, Alto e Extremo), 
conforme definição do apetite ao risco (Vide Figura 9 Critérios para avaliação do impacto). 
5.4.1.6.2 Avaliação da vulnerabilidade 
No caso da vulnerabilidade, é utilizado o julgamento profissional para determinar a avaliação 
sumária dessa dimensão, considerando aspectos tais como: 
 Eficácia do controle: A eficácia de capacidades existentes para gestão do risco. Inclui 
fatores pessoais, tais como, ambiente ético, pressões para alcançar objetivos, competência, 
adequação e integridade dos julgamentos das pessoas e da gerência. Processos incluem 
adequação e eficiência dos controles internos e o grau de informações dos sistemas 
corporativos; 
 Resposta à experiência prévia de risco: A ação corretiva eficiente deve ser tomada após 
a experiência prévia de risco. A falta de resposta eficaz às experiências prévias de risco 
aumenta a vulnerabilidade; 
 Complexidade ou volatilidade das atividades: O número de fatores e volatilidades 
inter-relacionados de aspectos como pessoas, processos, sistemas e unidades de negócios, 
incluindo dispersão geográfica de operações. A complexidade elevada aumenta a 
vulnerabilidade; 
 Nível de alteração nos processos (crescimento/contração): Mudanças recentes ou 
futuras em pessoas chave, na estrutura organizacional, nos processos, nos sistemas, no 
modelo de negócios ou na infraestrutura potencializam a vulnerabilidade; 
 Condições externas: Volatilidade de condições competitivas, financeiras e econômicas. 
Alta volatilidade aumenta a vulnerabilidade. 
 
A análise da vulnerabilidade, relativa ao nível de exposição ao risco, considerando a percepção dos 
executivos, o histórico de ocorrência, grau de implementação dos planos de ação, a atual estrutura 
de controles da COPERGÁS e o julgamento profissional, embasam a classificação dos riscos na 
dimensão da vulnerabilidade conforme a seguinte escala: 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 27/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Figura 22 Critérios para avaliação da vulnerabilidade 
 
Fonte: Elaborado por Deloitte©. 
 
Neste sentido, é atribuída a classificação da vulnerabilidade (Extrema, Alta, Média ou Baixa), com 
base no grau de confiança combinada para todos os controles associados ao risco, utilizando as 
definições da Figura 12. 
5.4.1.7 Critérios para avaliação de riscos nos processos 
O processo de avaliação de riscos nos processos consiste no desenvolvimento das seguintes 
etapas, que serão detalhadas em seguida: 
 
Figura 13 Processo de avaliação de riscos nos processos 
 
Fonte: Elaborado por Deloitte©. 
 
Para a priorização dos processos, utilizamos os seguintes critérios/qualificadores: 
 
Figura 143 Metodologia para avaliação de riscos nos processos 
 
 
Fonte: Elaborado por Deloitte©. 
 
Caso o processo seja avaliado de forma exclusivamente qualitativa, quando da indisponibilidade 
de dados quantitativos, serão ponderados apenas os pesos de “Avaliação dos riscos no processo” e 
“Complexidade do processo”, que totalizam 100%. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 28/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Caso o processo seja avaliado de forma qualitativa e quantitativa, serão ponderados os pesos 
conforme figura 14, relativo aos respectivos critérios, que totalizam 100% e incorpora o critério do 
Valor (R$) financeiro envolvido. 
 
Abaixo segue breve descrição do que representa cada critério: 
 Avaliação dos riscos do processo: grau de risco do processo, considerando o 
entendimento dos executivos entrevistados e respondentes dos questionários, refletida na 
análise geral de riscos (AGR). 
 Valor financeiro envolvido: volume financeiro envolvido para quantificação do processo. 
 Complexidade do processo: nível de esforço organizacional/controle para execução e 
gestão do processo analisado, considerando: 
− Sistemas envolvidos; 
− Áreas envolvidas. 
Pode-se ainda no futuro utilizar um quarto critério: Plano de Ação, que se refere à quantidade de 
recomendações implementadas e não implementadas, referente aos resultados dos ciclos de 
auditoria interna ou de outros projetos de revisão de processos ou controles internos que geraram 
recomendações para fortalecimento das linhas de defesa da Companhia. 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 29/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
5.4.2. ETAPA DE RESPOSTA E MENSURAÇÃO DE RISCOS (TRATAMENTO DE RISCOS) 
5.4.2.1 Definir o agente de Gestão de Riscos (colaboradores chave) 
Para a definição de indicadores de riscos, a Área de Governança, Conformidade e Riscos, em 
conjunto com a Diretoria (“Process Owner”) envolvida nos principais processos afetados pelo risco, 
devem definir os agentes de Gestão de Riscos (“Risk Owner”). 
 
Os indicadores de risco são definidos para cada risco, no âmbito das áreas envolvidas e, 
periodicamente, acompanhados pelos agentes supracitados. 
 
Os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos, são responsáveis por 
definir ações para mitigação dos riscos. 
5.4.2.2 Definir resposta aos riscos 
O objetivo dessa etapa é definir planos de ação com base na avaliação dos controles utilizados paragerenciamento do risco, priorizando os planos relacionados aos riscos mais críticos através da 
alocação eficiente dos recursos e cumprimento dos prazos exigidos. 
 
Com base nos resultados da avaliação dos riscos prioritários, o Comitê de Auditoria Estatutário deve 
aprovar o tratamento a ser dado ao risco, os quais podem ser: evitar, transferir, reduzir ou aceitar. 
Caso a opção seja aceitar o risco, devem ser estabelecidas métricas de monitoramento deste. Caso 
o tratamento escolhido para o risco seja reduzir, são definidos planos de ação para mitigar o nível 
de exposição. 
 
As atividades que compõem a etapa de resposta ao risco são subdivididas nas seguintes seções: 
 Definir estratégias para gerenciamento de riscos; 
 Elaborar os planos de ação; 
 Priorizar as deficiências encontradas. 
5.4.2.3 Definir estratégias para gerenciamento de riscos 
A Área de Governança, Conformidade e Riscos deve discutir com o gestor do processo/área a 
estratégia para gerenciamento do risco residual (resposta ao risco) levando em consideração o 
impacto, a vulnerabilidade, a tolerância da alta administração e o custo-benefício. Atentar para o 
fato de que sempre existirá um nível residual de risco, não apenas por causa da limitação de 
recursos, mas também por causa das incertezas futuras e limitações inerentes da estrutura de 
controle. 
 
Obter a aprovação do Comitê de Auditoria Estatutário a respeito das estratégias para gerenciamento 
do risco, acordadas com os gestores dos processos. 
 
Registrar a estratégia definida em conjunto com o gestor do processo no Sistema de Gestão de 
Riscos, considerando: 
 Modificar o nível de exposição por meio de plano de ação, conforme estratégia de resposta 
adotada: evitar, transferir, reduzir e/ou aceitar o risco; 
 Assumir o risco e monitorá-lo dentro do limite de exposição aceitável, com ou sem a 
utilização de Indicadores de Risco – KRI. 
Produtos Gerados: 
 
 Estratégia para gerenciamento de risco. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 30/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 
5.4.2.4 Elaborar os planos de ação 
Os responsáveis da Diretoria (“Process Owners”), com o suporte dos agentes de Gestão de Riscos 
(“Risk Owners”), devem elaborar planos de ação como resposta ao risco do processo relativo aos 
controles que, na etapa de avaliação e teste de controles, foram classificados com grau de confiança 
insuficiente. 
 
Os tipos de deficiências resultantes dos testes de controles e da avaliação de controles são: 
 Deficiências de controle: falhas que podem afetar adversamente a capacidade da 
Companhia para iniciar, autorizar, registrar, processar, consolidar e reportar dados 
financeiros e não financeiros precisos. 
 Deficiências significativas/condição reportável: deficiências reportadas ao Comitê de 
Auditoria Estatutário em razão da relevância da falha no desenho ou na operação de 
controles internos, podendo afetar a capacidade da companhia de iniciar, autorizar, 
registrar, processar, consolidar e reportar dados financeiros e não financeiros precisos. 
 Fraqueza material/condição reportável: o desenho ou a operação de um ou mais 
componentes dos controles internos expõe a Companhia à possibilidade de erros monetários 
ou fraude de valores materiais em relação às demonstrações financeiras. Os planos de ação 
correspondentes devem ter prioridade na implementação. 
 
De acordo com o resultado da avaliação e teste, deve-se dar prioridade ao plano de ação conforme 
abaixo: 
 Baixa: deficiência de controle, podendo o controle não ser efetivo ou não existir; 
 Média: deficiência significativa, podendo o controle não ser efetivo ou não existir; 
 Alta: fraqueza material caracterizado por um controle chave não efetivo ou não existente; 
 
Além da priorização, o plano de ação deve conter as seguintes informações: 
 Recomendação: melhoria a ser implementada; 
 Data-limite: prazo para implantação da recomendação; 
 Responsável: indicar o responsável pelo plano de ação; 
 Área responsável: indicar área responsável pelo plano de ação. 
 
A Área de Governança, Conformidade e Riscos deve validar os aspectos identificados e definir 
juntamente ao responsável primário do risco, o responsável e o prazo de implementação do plano 
de ação. 
Produtos Gerados: 
 
 Planos de Ação. 
5.4.2.5 Priorizar as deficiências encontradas 
Para priorizar as deficiências encontradas, deve-se: 
 Avaliar os recursos necessários para a implementação das recomendações (ex.: pessoas, 
sistemas e orçamento); 
 Priorizar as recomendações definidas no plano de ação, considerando a relação entre a 
relevância da deficiência encontrada e a facilidade de implementação; 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 31/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 Elaborar um cronograma para implementação de cada recomendação, considerando: 
− Prazos acordados no plano de ação; 
− Obtenção dos recursos necessários; 
− Impacto nas atividades do processo. 
 Submeter as deficiências priorizadas para análise dos responsáveis pela estrutura de 
controles internos da Companhia para validação. Em seguida, a proposta de priorização 
deve ser aprovada pelo Comitê de Auditoria Estatutário e Conselho de Administração. 
 
Produtos Gerados: 
 
 Priorização das deficiências identificadas. 
5.4.2.6 Mensurar e priorizar os riscos a serem monitorados 
Para mensurar riscos é necessário realizar a priorização dos principais riscos existentes nos 
processos, visando, não apenas a alocação dos recursos de forma mais eficiente, como também 
demonstrar os benefícios do processo de monitoramento contínuo para a Companhia. 
 
Caso exista um grande número de riscos identificados, é recomendável priorizar aqueles para os 
quais serão desenvolvidos indicadores a partir da avaliação do seu impacto e vulnerabilidade de 
ocorrência. 
 
De maneira geral, a prática demonstra que começar pelos 10 riscos mais relevantes 
(extremo/alto impacto e extrema/alta vulnerabilidade) possibilita desenvolver um conjunto de 
indicadores que sejam ao mesmo tempo abrangentes o suficiente para permitir o acompanhamento 
dos principais fatores impactantes e específicos o suficiente para possibilitar o seu efetivo 
gerenciamento. 
 
Como ponto de partida natural para esse processo, deve-se realizar análise das informações já 
existentes sobre os riscos identificados em trabalhos conduzidos pelas áreas de Auditoria interna, 
Gestão de Riscos e pelos órgãos reguladores, entre outros. 
5.4.2.7 Definir indicadores de riscos (Key Risk Indicator – KRI) 
5.4.2.7.1. Definição de KRI e níveis de tolerância 
Os indicadores de risco (KRIs) são utilizados para monitorar o grau de exposição do risco. 
 
Não existe um número máximo ou mínimo pré-definido de KRIs e cada risco pode ter um ou mais 
indicadores. O KRI deve ser relevante e sensível ao risco que ele está monitorando, ou seja, capaz 
de capturar possíveis problemas que estejam ocorrendo, caso seu valor atinja um determinado 
limite. Ele deve ser uma medida objetiva, eficiente e preferencialmente quantitativa. 
Os níveis de tolerância podem ser: 
• Máximo: requer ações que mitiguem o nível de risco; 
• Preocupante: indica uma tendência do nível de risco em atingir um nível de tolerância 
máxima, alertando o gestor a tomar ações de mitigação do risco; 
• Aceitável: indica níveis aceitáveis de risco sem requerimento de ações específicas de 
mitigação de risco. 
 
Os indicadores de riscos são associados às áreas responsáveis, de acordo com as especificidades 
analisadas, para que açõespreventivas ou corretivas possam ser tomadas caso seu resultado 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 32/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
sinalize que o risco se materializou, esteja em vias da ocorrência do evento de risco ou tenha 
ultrapassado o limite de tolerância a risco. 
 
Produtos Gerados: 
 
 KRIs definidos; 
 Lista dos riscos que serão monitorados por KRIs. 
5.4.2.7.2. Registro e monitoramento de KRIs 
Os indicadores de risco (KRIs) devem ser definidos e monitorados por meio do Sistema de Gestão 
de Riscos, contemplando o detalhamento dos indicadores e o associando aos riscos que já estão 
monitorados. 
 
Nesta etapa, os seguintes itens devem ser considerados para fins de documentação dos KRIs: 
• Indicador: referência do indicador; 
• Objetivo: descrição do objetivo do indicador; 
• Responsável: responsável primário do risco; 
• Processos associados: relação de processos associados ao risco; 
• Fórmula: fórmula sugerida para o cálculo do indicador; 
• Componentes: descrição dos elementos necessários para o cálculo do indicador conforme 
apresentado na fórmula; 
• Fonte: sistemas ou documentações bases dos componentes; 
• Acompanhamento: periodicidade de cálculo do indicador; 
• Status: indicação quanto ao status de implementação do indicador, conforme segue: KRI 
não implementado ou KRI implementado; 
• Limite de tolerância: valores a partir dos quais são justificadas análises sobre as razões 
das variações apresentadas; 
• Entendimento da variação: descrição das possíveis razões que originaram as variações 
no indicador; 
• Unidade de medida: representa como o indicador será medido, por exemplo, em valor 
percentual (%); 
• Resultado: descrição do resultado. 
5.4.2.7.3. Mapeamento das fontes de dados e coleta de informações 
Uma vez definido como os indicadores que serão documentados, o próximo passo para o 
desenvolvimento da matriz de indicadores consiste em priorizar, entre as inúmeras informações 
disponíveis na Companhia, aquelas que por sua natureza, relevância e disponibilidade poderão ser 
fonte de alimentação dos indicadores de risco. 
 
Eventualmente, o mapeamento da localização dos dados nos sistemas de origem exige o envolvendo 
do analista de TI, que possui conhecimento técnico mais avançado acerca dos sistemas da 
Companhia. O mapeamento da localização dos dados é fundamental para a posterior implementação 
do indicador no Sistema de Gestão de Riscos. 
 
A partir do levantamento das informações disponíveis, inicia-se um processo de análise para 
determinar quais informações têm uma relação de causa/ efeito nos riscos a serem acompanhados. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 33/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 
Os dados necessários para cálculo do indicador podem ser obtidos dos sistemas da Companhia de 
forma automática ou através de procedimentos alternativos de coleta, a serem definidos e 
implementados para cada risco analisado. 
 
É imprescindível a definir a periodicidade e forma de obtenção de dados, sendo preferencial que seja 
de forma automatizada (exemplo: geração de query, batches, via arquivos, etc.). Caso os dados 
não estejam disponíveis de forma automática, é importante avaliar a melhor forma para registro 
manual dos dados (ex. planilhas, arquivos “.txt”, etc.). 
5.4.2.7.4. Testes de aderência dos KRIs 
O KRI precisa de uma fase de testes para validar seus atributos (principalmente sua fórmula e 
periodicidade de cálculo) e, posteriormente, estabelecer limites (níveis de tolerância) que indiquem 
a materialização dos riscos, antes de ser colocado em produção. 
 
Neste sentido, faz-se necessário obter os dados para teste do KRI e avaliar se os resultados obtidos 
são factíveis, observando: 
• Integridade e confiabilidade dos dados, verificando nível de oscilação do resultado no 
período analisado e a sensibilidade do indicador ao risco; 
• Tempo de processamento do cálculo do indicador, verificando se está adequado ou 
está muito acima do esperado; 
• Viabilidade de cálculo do indicador, conforme a periodicidade definida. 
 
Após os testes, são procedidos os ajustes necessários no KRI e a análise é repetida até que o 
indicador esteja pronto para ser colocado em produção. 
 
A partir dos resultados dos testes, também deve-se definir: 
• Limites realísticos para os três níveis de tolerância, de forma que o gestor possua 
parâmetros para o monitoramento dos riscos. Os limites não devem ser alterados com 
muita frequência, possibilitando o estabelecimento de tendências do KRI; 
• Periodicidade e forma de coleta dos dados; 
• Ações preventivas ou corretivas que devem ser tomadas, os respectivos responsáveis 
e o nível de reporte, quando os KRIs atingirem os limites de cada nível de tolerância; 
• A melhor forma de utilizar os resultados dos KRIs, ou seja, se o número deverá ser 
comparado a séries históricas existentes ou a um padrão preestabelecido ou se deve oscilar 
dentro de um intervalo predefinido; 
• Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, 
período, funcionário, etc.). 
5.4.2.7.5. Mensuração do KRI 
O objetivo desta etapa é obter os dados para cálculo dos KRIs. 
 
As atividades que compõe a etapa de mensuração são subdivididas nas seguintes categorias: 
 Capturar dados automaticamente; 
 Registrar dados manualmente. 
5.4.2.7.5.1. Capturar dados automaticamente 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 34/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Inicialmente, é realizada a verificação e certificação de que todos os dados necessários para efetivar 
a carga para cálculo dos KRIs estão disponíveis e, em seguida, executado o procedimento para 
captura automática de cada indicador, de acordo com a respectiva periodicidade de coleta. 
 
Após o cálculo automático, é verificado se não ocorreu problemas na captura automática dos dados, 
por exemplo, por meio de relatórios de críticas. 
5.4.2.7.5.2. Registrar dados manualmente 
Após a obtenção dos dados do KRI, deve-se alimentar as planilhas, em Excel, específicas para 
inclusão/importação dos dados no Sistema de Gestão de Riscos, de acordo com a periodicidade 
específica definida. 
 
Produtos Gerados: 
 
 Atualização do sistema com as informações para cálculo dos KRIs. 
5.4.2.7.6. Análise de resultados e reporte dos KRIs 
Após a implantação em produção e realização do cálculo do indicador, deve-se analisar o resultado 
da avaliação de riscos do processo e identificar aqueles que apresentarem grau de exposição 
extrema/ alta ou perdas relevantes materializadas. Para cada indicador, devem ser estabelecidos os 
seguintes aspectos: 
 Ações preventivas ou corretivas que devem ser tomadas; 
 Os respectivos responsáveis e o nível de reporte, quando os indicadores atingirem os limites 
de cada nível de tolerância; 
 Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, período, 
colaborador, etc.). 
 
A Área de Governança, Conformidade e Riscos deve definir, junto ao agente de Gestão de Riscos 
responsável pelo indicador, a periodicidade com que esse deve ser revisado (pelo menos 
anualmente), para que as alterações que se fizerem necessárias nos processos, nos produtos, nos 
controles, nos sistemas e nos próprios riscos sejam refletidas. 
 
Periodicamente, os resultados dos indicadores são reportados para a Diretoria,conforme frequência 
estabelecida para cada risco e ao Comitê de Auditoria Estatutário e Conselho de Administração, de 
acordo com os respectivos calendários de reuniões. O reporte deve ser realizado através de 
relatórios que serão utilizados para acompanhamento contendo informações apresentadas de forma 
gráfica, com tendência do indicador (de alta, estável, baixa), a evolução histórica do indicador e, 
opcionalmente, utilização de mais de uma opção de visualização. 
 
Caso o nível de tolerância definido para o risco seja excedido, devem ser definidos planos de ação 
para tratamento do risco, considerando o resultado do indicador reportado pelo agente de Gestão de 
Riscos e Área de Governança, Conformidade e Riscos. 
 
Os responsáveis pela elaboração do plano de ação são os agentes de Gestão de Riscos, com o 
suporte dos Diretores envolvidos nos processos associados ao risco e da Área de Governança, 
Conformidade e Riscos. 
 
Produtos Gerados: 
 
 Relatório de monitoramento dos KRIs; 
 Periodicidade de revisão dos indicadores. 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 35/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 
5.4.2.8 Estabelecer níveis tolerância e apetite ao risco 
Os níveis de apetite a risco devem ser sugeridos pela Diretoria e agentes de Gestão de Riscos, sendo 
apreciados pelo Comitê de Auditoria Estatutário e aprovados pelo Conselho de Administração, 
considerando a característica de cada indicador. O nível de tolerância é definido individualmente 
para cada risco. 
 
Podem ser utilizadas informações já existentes na Companhia como, por exemplo, a materialidade 
ou impacto nos resultados. Com base na definição do apetite ao risco, devem ser aplicados os níveis 
de tolerância a cada risco encontrado. 
5.4.3. ETAPA DE MONITORAMENTO CONTÍNUO E REPORTE DOS RISCOS 
Para que o gerenciamento de riscos seja efetivo, a Área de Governança, Conformidade e Riscos deve 
realizar o monitoramento das atividades realizadas para mitigar os riscos. 
 
As atividades que compõem essa etapa são subdivididas nas seguintes seções: 
 Acompanhar e atualizar o status de implementação dos planos de ação; 
 Emitir relatório de Gestão de Riscos. 
5.4.3.1 Acompanhar e atualizar o status de implementação dos planos de ação 
A Área de Governança, Conformidade e Riscos deve definir a periodicidade com que será realizado o 
acompanhamento dos planos de ação, contatar o responsável pela implementação e questionar, de 
acordo com a prazo estabelecido, sobre o status das atividades. 
 
O status das ações (percentual de implementação) deve ser atualizado no Sistema de Gestão de 
Riscos. Deve ser procedida a análise do percentual de implementação dos planos de ação em 
relação aos prazos acordados para conclusão. Caso não seja possível implementá-los dentro dos 
prazos acordados, deve-se verificar as justificativas pelo não cumprimento e definir, em conjunto 
com o responsável uma nova data para conclusão da implantação. 
 
O novo prazo deve ser validado para implementação do plano de ação com o gestor do 
processo/área e, em seguida, deve ser registrado no Sistema Gestão de Riscos, adicionando as 
justificativas, agrupadas por categorias (em campo comentário), por exemplo: 
• Falta de recursos; 
• Prazo subestimado; 
• Alteração nos sistemas; 
• Mudança de estratégia. 
 
Produtos Gerados: 
 
 Status do Plano de Ação. 
5.4.3.2 Emitir relatório de Gestão de Riscos 
As informações pertinentes à Área de Governança, Conformidade e Riscos serão periodicamente 
reportadas à Alta Administração e conterão, ao menos: 
 Mapa de riscos; 
 Resumo dos riscos prioritários e suas avaliações finais; 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 36/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
 Resumo das principais deficiências de controle; 
 Resultados dos indicadores de riscos e perdas materializadas; 
 Resumo do status dos planos de ação; 
 Responsáveis pela implementação dos planos de ação. 
5.4.3.3 Emitir relatório de Controles Internos 
Os relatórios de controles internos da COPERGÁS serão emitidos periodicamente, contemplando o 
resultado do monitoramento de cada macroprocesso definido no MCP. As informações a serem 
reportadas devem contemplar: 
• Mapa de riscos; 
• Resumo dos riscos associados aos macroprocessos e suas respectivas avaliações finais; 
• Resumo das principais deficiências de controle (deficiências significantes e fraquezas 
materiais); 
• Histórico de perdas associadas a cada risco; 
• Resumo dos planos de ação. 
 
Esses relatórios serão submetidos a revisão do Comitê de Auditoria Estatutário da COPERGÁS. 
 
Produtos Gerados: 
 
 Monitoramento de atividades pendentes; 
 Relatórios pontuais com eventos de risco relevantes. 
5.4.3.4 Emitir outros relatórios de acompanhamento dos gestores 
Relatórios específicos e pontuais devem ser estruturados e enviados tempestivamente aos gestores 
e Comitê de Auditoria Estatutário, com objetivo de acompanhar o andamento das atividades de auto 
avaliação, testes e status de implementação, bem como a ocorrência de eventos de risco relevantes. 
 
Para tal, é deve ser definida uma escala de reporte conforme período em que determinadas 
atividades estão em atraso. Por exemplo: 
• 30 dias após o vencimento do prazo: reiteração ao destinatário original; 
• 45 dias após o vencimento do prazo: reiteração ao destinatário original, com cópia para 
o superior; 
• 60 dias após o vencimento do prazo: reiteração ao superior, com cópia aos destinatários 
anteriormente cobrados; 
• 75 dias após o vencimento do prazo: cobrança direta à Diretoria Executiva da área 
envolvida; 
• 90 dias após o vencimento do prazo: comunicação ao Comitê de Auditoria Estatutário da 
COPERGÁS. 
Produtos Gerados: 
 
 Monitoramento de atividades pendentes; 
 Relatórios pontuais com eventos de risco relevantes. 
 
 
 
MANUAL DE PROCEDIMENTOS 
Identificação Versão Folha 
MGR-001 1 37/55 
Título: Manual de Gestão de Riscos 
Manual de Procedimentos 
 
Documentos impressos não garantem a validade do mesmo. 
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI. 
Figura 16 COSO® ERM – Internal Environment 
5.5. Metodologias 
5.5.1. COSO® ERM 
A estrutura do COSO® ERM define que a 
implementação de uma estrutura de controles 
internos deve contemplar oito componentes 
inter-relacionados, considerando todas 
unidades, processos, subprocessos e 
atividades da Companhia. 
Esses oito componentes direcionam a forma 
como a Companhia pode elaborar o desenho, 
a implementação e a manutenção de sua 
estrutura de controles internos, contemplando 
quatro objetivos principais, a saber: 
 Agregar valor aos acionistas através 
de objetivos ESTRATÉGICOS 
alinhados à missão/ visão da 
Companhia; 
 Promover a eficácia e eficiência 
OPERACIONAIS; 
 Assegurar a confiabilidade dos 
RELATÓRIOS FINANCEIROS; 
 Manter CONFORMIDADE com as leis e 
regulamentações vigentes. 
A figura 15 representa ilustração da estrutura 
do COSO® ERM com seus oito componentes 
associados aos objetivos (Estratégicos, 
Operacionais, Relatórios Financeiros e 
Conformidade) e às unidades/divisões da 
Companhia: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: COSO© ERM. 
 
Apresentamos, a seguir, um detalhamento dos 
principais aspectos relacionados a cada um 
dos componentes do COSO: 
5.5.1.1 Ambiente de Controles 
Fonte: COSO© ERM. 
 
A visão da Companhia determina a cultura de 
seus colaboradores no tratamento de aspectos 
relacionados à sua estrutura de controles 
internos,