Manual de Riscos Coperg S

Identificação Versão Folha
MANUAL DE PROCEDIMENTOS
MGR-001 1 1/55
Título: Manual de Gestão de Riscos
Manual de Procedimentos
MANUAL DE GESTÃO DE RISCOS

COPERGÁS
Documentos impressos não garantem a validade do mesmo.

Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
MGR-001 1 2/55
Conteúdo
1. OBJETIVO ....................................................................................................................................... 3
2. CAMPO DE APLICAÇÃO ................................................................................................................. 4
3. REFERÊNCIAS ................................................................................................................................ 5
4. CONTEÚDO GERAL ........................................................................................................................ 6
4.1. Tabela de figuras ....................................................................................................................... 6
4.2. Símbolos e abreviações ............................................................................................................ 7
4.3. Conceitos ..................................................................................................................................... 8
4.3.1. Risco...................................................................................................................................... 8
4.3.2. Risco de negócio ................................................................................................................. 8
4.3.3. Gestão de risco corporativo .............................................................................................. 8
4.3.4. Apetite, tolerância e exposição ao risco ......................................................................... 8
4.3.5. Controles internos .............................................................................................................. 8
4.3.6. Governança corporativa .................................................................................................... 9
4.3.7. COSO® ERM ......................................................................................................................... 9
4.3.8. Impacto e vulnerabilidade ................................................................................................. 9
4.3.9. Fonte de risco ...................................................................................................................... 9
4.3.10. KRI – Key Risk Indicator ................................................................................................... 9
4.3.11. Premissa para avaliação de riscos ................................................................................... 9
4.4. Plano de treinamento .............................................................................................................. 11
4.4.1. Treinamento do staff da área de gestão de riscos ...................................................... 11
4.4.2. Plano de conscientização da Organização e treinamento de novos funcionários .. 12
4.5. Plano de comunicação............................................................................................................. 13
5. CONTEÚDO ESPECÍFICO ............................................................................................................ 14
5.1. Missão e visão da gestão de riscos ....................................................................................... 14
5.1.1. Missão da gestão de riscos da COPERGÁS ................................................................... 14
5.1.2. Visão da gestão de riscos da COPERGÁS ..................................................................... 14
5.2. Estrutura organizacional ......................................................................................................... 15
5.3. Competências e responsabilidades ....................................................................................... 16
5.4. Processo de gestão integrada de riscos ............................................................................... 19
5.4.1. Etapa de identificação e avaliação de riscos ................................................................ 20
5.4.2. Etapa de resposta e mensuração de riscos (tratamento de riscos)......................... 29
5.4.3. Etapa de monitoramento contínuo e reporte dos riscos ............................................ 35
5.5. Metodologias ............................................................................................................................. 37
5.5.1. COSO® ERM ....................................................................................................................... 37
5.5.2. ABNT ISO 31000:2009 .................................................................................................... 45
ANEXOS ............................................................................................................................................... 50
ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES ......................................................... 51
ANEXO II – DICIONÁRIO DE RISCOS ......................................................................................... 54

MGR-001 1 3/55
1. OBJETIVO
Definir orientações gerais para o processo de gestão integrada de riscos, de forma a assegurar que:
 Os riscos de negócio inerentes às atividades da COPERGÁS sejam identificados, analisados,

avaliados e um plano de tratamento seja definido.
 A estrutura de controles internos seja continuamente revisada, considerando os riscos

existentes nos processos de negócio, minimizando os custos associados a riscos não
controlados;
 Os potenciais conflitos de interesse sejam identificados e os riscos associados sejam

minimizados, através da implementação de medidas para segregação de funções e/ou
monitoramento das atividades;
 Todos os empregados compreendam claramente os objetivos do processo de gestão de

riscos e os papéis, as funções e as responsabilidades atribuídas aos diversos níveis da
Companhia;
 O fluxo de reporte e limites de tolerância estejam previamente aprovados pela Alta

Administração;
 Os planos de resposta aos riscos sejam tempestivamente monitorados pelas instâncias

responsáveis na Companhia;
 Os objetivos estratégicos da Companhia sejam plenamente atendidos;
 A COPERGÁS atenda aos critérios da Lei nº 13.303/16

MGR-001 1 4/55
2. CAMPO DE APLICAÇÃO
Este manual aplica-se a todos os níveis organizacionais da Companhia, os quais são integrantes do
processo de gerenciamento de riscos, direta ou indiretamente.

MGR-001 1 5/55
3. REFERÊNCIAS
- Código de Conduta e Integridade da COPERGÁS;

- Plano Anual de Auditoria Interna.

MGR-001 1 6/55
4. CONTEÚDO GERAL
4.1. Tabela de figuras
FIGURA 1 LINHAS DE DEFESA DO RISCO .......................................................................................... 15

FIGURA 2 ESTRUTURA ORGANIZACIONAL DA GESTÃO DE RISCOS............................................................. 15
FIGURA 3 PROCESSO DE GESTÃO INTEGRADA DE RISCOS ...................................................................... 19
FIGURA 4 COMPONENTES DO PROCESSO DE GESTÃO DE RISCOS .............................................................. 20
FIGURA 5 LEGENDA DO DICIONÁRIO DE RISCOS ................................................................................. 21
FIGURA 6 DICIONÁRIO DE RISCOS ................................................................................................ 21
FIGURA 7 MODELO DE CLASSIFICAÇÃO DE MACROPROCESSOS (MPC) ...................................................... 22
FIGURA 8 MAPA DE RISCOS ........................................................................................................ 24
FIGURA 9 CRITÉRIOS PARA AVALIAÇÃO DO IMPACTO ............................................................................ 25
FIGURA 10 PROCESSO DE AVALIAÇÃO DE RISCOS ............................................................................... 25
FIGURA 11 METODOLOGIA PARA AVALIAÇÃO DE RISCOS ....................................................................... 26
FIGURA 12 CRITÉRIOS PARA AVALIAÇÃO DA VULNERABILIDADE ............................................................... 27
FIGURA 13 PROCESSO DE AVALIAÇÃO DE RISCOS NOS PROCESSOS .......................................................... 27
FIGURA 14 METODOLOGIA PARA AVALIAÇÃO DE RISCOS NOS PROCESSOS ................................................... 27
FIGURA 15 COSO® ERM – INTERNATIONAL INTEGRATED FRAMEWORK .................................................... 37
FIGURA 16 COSO® ERM – INTERNAL ENVIRONMENT ......................................................................... 37
FIGURA 17 COSO® ERM – OBJECTIVE SETTING............................................................................... 38
FIGURA 18 COSO® ERM – EVENT IDENTIFICATION ........................................................................... 39
FIGURA 19 COSO® ERM – RISK ASSESSMENT ................................................................................ 39
FIGURA 20 COSO® ERM – RISK RESPONSE ................................................................................... 40
FIGURA 21 COSO® ERM – CONTROL ACTIVITIES ............................................................................. 41
FIGURA 22 COSO® ERM – INFORMATION & COMMUNICATION .............................................................. 42
FIGURA 23 COSO® ERM – MONITORING ....................................................................................... 43
FIGURA 24 ISO 31000:2009 – PROCESSO DE GESTÃO DE RISCOS ........................................................ 45
FIGURA 25 ISO 31000:2009 – COMUNICAÇÃO E CONSULTA ............................................................... 45
FIGURA 26 ISO 31000:2009 – ESTABELECIMENTO DO CONTEXTO......................................................... 46
FIGURA 27 ISO 31000:2009 – PROCESSO DE AVALIAÇÃO DE RISCOS .................................................... 46
FIGURA 28 ISO 31000:2009 – TRATAMENTO DE RISCOS ................................................................... 48
FIGURA 29 ISO 31000:2009 – MONITORAMENTO E ANÁLISE CRÍTICA .................................................... 48

MGR-001 1 7/55
4.2. Símbolos e abreviações
ABNT – Associação Brasileira de Normas Técnicas.

AGR – Análise Geral de Riscos.
COSO® ERM – Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk
Management.
COPERGÁS – Companhia Pernambucana de Gás.
IBGC – Instituto Brasileiro de Governança Corporativa.
ISO – International Organization for Standardization.
KRI – Key Risk Indicator.
MCP – Modelo de Classificação de Processos.

MGR-001 1 8/55
4.3. Conceitos
4.3.1. RISCO
Conforme definido no COSO® ERM, risco é a possibilidade de ocorrência de um evento, oriunda de

fontes internas ou externas, capaz de afetar adversamente o atendimento dos objetivos da
Companhia.
É o efeito da incerteza nos objetivos. [ABNT ISO GUIA 73:2009, definição 1.1]
4.3.2. RISCO DE NEGÓCIO
É a exposição a impactos negativos resultantes de decisões ou eventos não esperados de natureza

estratégica, operacional, financeira, legal e outros decorrentes da maneira pela qual a organização
busca atingir os seus objetivos.
4.3.3. GESTÃO DE RISCO CORPORATIVO
É um conceito de avaliação e gerenciamento de incertezas (“riscos”) enfrentadas pela Companhia

por meio de um enfoque estruturado de controles que alinha estratégia, processos, pessoas,
tecnologia e conhecimentos, objetivando a preservação e criação de valor aos stakeholders.
Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. [ABNT
ISO GUIA 73:2009, definição 2.1]
4.3.4. APETITE, TOLERÂNCIA E EXPOSIÇÃO AO RISCO
Apetite ao risco é a exposição a risco que a Companhia está disposta a aceitar para atingir suas
metas e objetivos, preservar e criar valor, estando diretamente relacionada à sua estratégia.
[COSO® ERM]
Quantidade e tipos de riscos que uma organização está preparada para buscar ou reter. [ABNT ISO
GUIA 73:2009, definição 3.7.1.2]
O apetite ao risco reflete a filosofia de gerenciamento de riscos da Companhia.
A tolerância ao risco é o nível aceitável de variação do apetite, considerando o atendimento de

objetivos específicos da Companhia. [COSO® ERM]
Disposição da organização ou parte interessada em suportar o risco após o seu tratamento, a fim de
atingir os seus objetivos. [ABNT ISO GUIA 73:2009, definição 3.7.1.3]
Ao contrário do apetite ao risco, que é ampla, a tolerância ao risco é tática e específica. Isto é, ela
deve ser expressa em unidades mensuráveis, aplicável em todos os níveis da organização.
A exposição ao risco é determinada considerando a avaliação do risco, pela combinação do

impacto e vulnerabilidade; deve estar dentro do apetite/tolerância a risco definidos pela Companhia.
Medida em que uma organização ou parte interessada está sujeita à um evento. [ABNT ISO GUIA
73:2009, definição 3.6.1.2]
4.3.5. CONTROLES INTERNOS
Controle interno é definido como um processo, executado pela Alta Administração, gerência ou
outros colaboradores da Companhia, considerando políticas, procedimentos, atividades e
MGR-001 1 9/55
mecanismos designados para proporcionar uma razoável segurança para realização dos objetivos de
negócio. Um processo conduzido pela estrutura de governança, pela administração e por outros
profissionais da entidade, e desenvolvido para proporcionar garantia (segurança) razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. [COSO®
ERM 2016]
4.3.6. GOVERNANÇA CORPORATIVA
Conforme definido pelo Instituto Brasileiro de Governança Corporativa (IBGC), governança

corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre acionistas, Conselho de Administração, Diretoria e órgãos de
controle. As boas práticas de governança corporativa convertem princípios em recomendações
objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da Companhia,
facilitando seu acesso ao capital e contribuindo para a sua sustentabilidade.
4.3.7. COSO® ERM
Modelo internacional de controles internos composto por oito camadas (Ambiente Interno, Definição
de Objetivos, Identificação dos Riscos, Avaliação do Risco, Tratamento do Risco, Ambiente de
Controle, Informação e Comunicação e Monitoramento). É uma iniciativa conjunta de cinco
organizações do setor privado que se propõe a liderar a geração de conhecimento por meio de
desenvolvimento de estruturas e diretrizes sobre controles internos, gerenciamento de riscos
corporativos e prevenção de fraudes. [COSO® ERM 2016]
4.3.8. IMPACTO E VULNERABILIDADE
Impacto: é a extensão a que a Companhia pode estar exposta em relação aos objetivos de
negócios, antes e/ou depois da avaliação do respectivo risco, podendo ser de ordem tangível ou
intangível.
Vulnerabilidade: considera a atual estrutura de controles da Companhia: técnicas atuais para

mitigação de riscos, eficiência e eficácia de controles, histórico e impactos anteriores de riscos,
complexidade do gerenciamento de riscos e nível de crescimento e contração. É a extensão à qual a
Companhia pode estar exposta em relação aos objetivos de negócios ou desprotegida em relação
aos impactos negativos depois que os controles existentes foram avaliados. Propriedades intrínsecas
de algo resultando em suscetibilidade a uma fonte de risco que pode levar a um evento com uma
consequência. [ABNT ISO GUIA 73:2009, definição 3.6.1.6]
4.3.9. FONTE DE RISCO
Situações e/ou circunstâncias que podem levar à ocorrência, ou ao aumento da probabilidade de

ocorrência, de uma situação de risco. Elemento que, individualmente ou combinado, tem o potencial
intrínseco para dar origem ao risco. [ABNT ISO GUIA 73:2009, definição 3.5.1.2]
4.3.10. KRI – KEY RISK INDICATOR
KRI é uma medida utilizada para avaliar como o risco se comporta e para fornecer alertas de forma
rápida e antecipada quanto à exposição, seu potencial de ganho ou perda futura, ou seja, a
possibilidade de impacto positivo ou negativo do risco nos processos de negócio da Companhia.
4.3.11. PREMISSA PARA AVALIAÇÃO DE RISCOS
Quanto maior impacto e vulnerabilidade, maior é o nível de exposição ao risco.

MGR-001 1 10/55

MGR-001 1 11/55
4.4. Plano de treinamento
A seguir descrevemos o plano de treinamento a ser adotado pela COPERGÁS, a fim de assegurar
que:
• A cultura de Gestão de Riscos seja disseminada por toda a Companhia, atingindo as

diversas áreas;
• Todos os funcionários compreendam claramente os objetivos do processo de Gestão de

Riscos, bem como os papéis, funções e as responsabilidades atribuídas aos diversos níveis
hierárquicos da Companhia;
• Todos os funcionários tenham conhecimento dos meios de comunicação disponíveis para o

processo de Gestão de Riscos, conforme o plano de comunicação definido.
O programa de treinamento deverá abranger todos os funcionários da COPERGÁS, observando seu

grau de participação nas funções de Gestão de Riscos e será estruturado em três etapas distintas,
quais sejam:
4.4.1. TREINAMENTO DO STAFF DA ÁREA DE GESTÃO DE RISCOS
Os funcionários designados a atuarem na Área de Governança, Conformidade e Riscos devem

receber treinamento específico e contínuo em Gestão de Riscos, atendendo a cursos, palestras e
seminários específicos, abordando os seguintes assuntos:
• Política de Gestão de Riscos da COPERGÁS;

• Conceitos de Gestão Integrada de Riscos;
• Critérios e premissas para avaliação de riscos e controles internos;
• Explicação sobre o funcionamento da metodologia e ferramentas utilizadas para o processo
de Gestão de Riscos da COPERGÁS, contemplando:
− Modelo de Classificação de Processos – MCP;
− Linguagem Comum de Riscos – LCR;
− Sistema informatizado para Gestão de Riscos;
− Modelo de autoavaliação de controles (Control Self Assessment).

• Procedimentos para elaboração e monitoramento de planos de remediação/mitigação de
riscos;
• Legislação aplicável às atividades da Companhia (saneamento, regulatória, ambiental,

fiscal, etc.);
• Segurança da informação; e
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo
com o plano de comunicação.

MGR-001 1 12/55
4.4.2. PLANO DE CONSCIENTIZAÇÃO DA ORGANIZAÇÃO E TREINAMENTO DE NOVOS FUNCIONÁRIOS
O plano de conscientização dos empregados quanto à importância do processo de Gestão de

Riscos deverá ser realizado no início das atividades de Gestão de Riscos e deve ser repetido
sempre que a Alta Administração julgar necessário.
Esta etapa consiste na realização de palestras para grupos de empregados, a serem ministradas
por membros da Área de Governança, Conformidade e Riscos.
Os seguintes tópicos deverão ser abordados nas palestras:

• Definição dos conceitos de risco e Gestão de Riscos;
• Apresentação da missão e visão do processo de Gestão de Riscos;
• Conscientização sobre a importância da Gestão de Riscos;
• Apresentação da composição do Comitê de Auditoria Estatutário;
• Descrição da estrutura criada na COPERGÁS para desempenhar as atividades e os
empregados envolvidos;
• Explicação acerca da importância da participação das demais áreas no processo de Gestão

de Riscos;
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo
com o plano de comunicação; e
• Esclarecimento de eventuais dúvidas.
Semestralmente, a área de Gestão de Pessoas deve informar à Área de Governança, Conformidade

e Riscos todos os empregados admitidos no último período que não tenham participado do plano de
conscientização. Esses funcionários devem assistir à palestra, conforme avaliação da Área de
Governança, Conformidade e Riscos.

MGR-001 1 13/55
4.5. Plano de comunicação
O Plano de Comunicação deve atender a todos os empregados da Companhia, observando o grau de

responsabilidade e envolvimento no processo de Gestão de Riscos de cada um.
O Plano de Comunicação deve ser estabelecido para assegurar que:

• Todas as áreas compreendam claramente o papel, os objetivos, as funções e as
responsabilidades da Área de Governança, Conformidade e Riscos, enquanto função de
controle independente dentro da COPERGÁS, bem como seus respectivos deveres e
responsabilidades para o entendimento e cumprimento das políticas definidas, das leis e dos
regulamentos existentes.
• O pessoal chave compreenda seu papel de atuação e suas responsabilidades no processo de

Gestão de Riscos.
• Os planos de ação sejam devidamente implementados, com o intuito de minimizar o risco

dos procedimentos da Companhia não estarem em conformidade com as leis e os
regulamentos (internos e externos), especialmente nos casos em que haja exposição a
multas e/ou sanções de órgãos reguladores.
Alguns exemplos de comunicação podem ser adotados pela COPERGÁS. Abaixo estão descritas
algumas opções:
• Jornal interno/ TVs Internas – divulgação bimestral de notícias sobre o processo Gestão de
Riscos, sobre as atividades desempenhadas, as áreas envolvidas e os principais resultados.
Divulgação permanente de informações relevantes e atualizadas sobre a Área de
Governança, Conformidade e Riscos, tais como usuários-chave, objetivo, missão, função,
áreas de atuação, principais contatos e esclarecimento de dúvidas frequentes (FAQs);
• Correio eletrônico e intranet – divulgação de endereço de correio eletrônico para a

comunicação entre os demais funcionários da COPERGÁS e a Gestão de Riscos.
• Alertas de pop-ups nos computadores da Companhia – disseminação de tópicos relevantes

acerca da Gestão de Riscos, além da possibilidade de lançamento de pesquisas,
esclarecimento de dúvidas frequentes (FAQs) e/ou lançamento de quiz sobre fatos
importantes (highlights), curiosidades, resultados e tendências sobre a gestão de riscos.

MGR-001 1 14/55
5. CONTEÚDO ESPECÍFICO
5.1. Missão e visão da gestão de riscos
5.1.1. MISSÃO DA GESTÃO DE RISCOS DA COPERGÁS

Amparar o desenvolvimento sustentável da Companhia frente, a partir da aplicação de metodologia
estruturada para o gerenciamento de riscos corporativos, favorecendo maior assertividade do
processo decisório da Alta Administração e internalizando a cultura de gestão de riscos por meio de
uma linguagem comum.
5.1.2. VISÃO DA GESTÃO DE RISCOS DA COPERGÁS

Garantir a implantação efetiva do processo de gestão de riscos e a consolidação do tema em todos
os colaboradores da Companhia até 2020.

MGR-001 1 15/55
5.2. Estrutura organizacional
A distribuição de responsabilidades no processo de gestão de riscos deve contemplar agentes nas

três linhas de defesa, conforme modelo sugerido pelo IIA – Instituto dos Auditores Internos, a
saber:
Figura 1 Linhas de Defesa do Risco
Fonte: Adaptação da Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e
Controles. IIA (2013)
A seguir, apresentamos a estrutura de governança corporativa para a Gestão de Riscos proposta e

seus respectivos níveis hierárquicos:
Figura 2 Estrutura organizacional da Gestão de Riscos
Fonte: Elaborado por Deloitte©

MGR-001 1 16/55
5.3. Competências e responsabilidades
A Gestão de Riscos na COPERGÁS é realizada através de uma estrutura coordenada pelo Comitê de
Auditoria Estatutário, com o envolvimento ativo de dois atores principais: Área de Governança,
Conformidade e Riscos e gestores das áreas de negócio, conforme descrição a seguir:
Comitê de Auditoria Estatutário: atividades de aprovação visando assegurar o equilíbrio, a

transparência e a integridade das informações, diante do cumprimento das suas principais
atribuições, a saber:
I - Aprovar a metodologia e os documentos chave (exemplos: Política de Gestão de Riscos,

Manual de Gestão de Riscos, ISO 31000 etc.) a serem utilizados para a condução do processo
de Gestão de Riscos junto ao Comitê de auditoria estatutário e ricos e o Conselho
Administrativo;
II - Incentivar o cumprimento da Política de Gestão de Riscos e o Manual de Gestão de Riscos;
III - Analisar o apetite ao risco e submete-lo para aprovação do Conselho de Administração.
IV - Submeter periodicamente ao Conselho de Administração relatório sobre os resultados do
monitoramento dos riscos inerentes às atividades da Companhia e que possam afetar o
atendimento aos seus objetivos;
V - Acompanhar de forma sistemática os Indicadores de Riscos, com o objetivo de garantir
sua eficácia; e
VI - Avaliar a efetividade do processo de gestão de riscos, principalmente no tocante à
definição, revisão e monitoramento dos riscos priorizados.
Área de Governança, Conformidade e Riscos: atividades de planejamento e gestão de riscos

corporativos da Companhia, visando garantir a execução da política de riscos aprovada,
através da aceitação ou redução dos riscos estratégicos, financeiros, operacionais e legais.
Monitoramento do ambiente de controles internos e acompanhamento do nível de
implementação das melhorias visando manter os riscos no nível definido pela Alta
Administração. A Área de Governança, Conformidade e Riscos é responsável pelas seguintes
atividades na COPERGÁS:
I - Realizar estudos e análise qualitativa e quantitativa de riscos estratégicos, financeiros,

operacionais e legais;
II - Propor e revisar metodologia de avaliação, apetite, tolerância e gestão de riscos
corporativos;
III - Planejar os processos e riscos a serem mapeados na ótica de identificação e
aperfeiçoamento da estrutura de controles;
IV - Identificar e monitorar riscos, avaliando vulnerabilidade e impacto da ocorrência,
propondo medidas para controle e priorização dos riscos;
V - Acompanhar a implementação dos planos de ação estabelecidos provenientes dos
trabalhos de auditoria interna e gestão de riscos;
VI - Realizar articulação e dar suporte às demais áreas da empresa, auxiliando na definição
dos responsáveis primários dos riscos na sua gestão de riscos;
VII - Assessorar os responsáveis primários dos riscos quanto à exposição e tolerância ao risco,
bem como à definição e execução de ações mitigatórias de controles internos e respostas aos
eventos;
VIII - Revisar relatório de análise de riscos contendo classificação, plano de resposta e
estratégias de monitoramento;
IX - Disseminar linguagem comum de riscos na Companhia visando uniformização e
padronização dos conceitos;
X - Disseminar cultura de controles internos com base em modelos reconhecidos
internacionalmente (ex.: COSO®);
MGR-001 1 17/55
XI - Conduzir processos de autoavaliação de controles;

XII - Manter uma base de dados de riscos e controles internos relacionados aos processos de
negócio da Companhia no SGI (Sistema de Gestão Integrada);
XIII - Realizar reportes à Alta Administração e Comitê de Auditoria Estatutário quanto ao
cenário de riscos da Companhia;
XIV - Apontar ao Comitê de Auditoria Estatutário ou Comitê de Ética a ocorrência de não
conformidades, falhas, desvios, irregularidades e/ou ilegalidades observadas;
XV - Realizar a gestão do ambiente de controles internos, de acordo com políticas,
certificações legais, regulatórias e demais diretrizes para mitigar o risco;
XVI - Orientar e desenhar controles internos junto às áreas da Companhia, alinhados ao
processo de avaliação dos riscos para implementação e priorização das ações mitigatórias;
XVII - Dar suporte no monitoramento e avaliação dos controles internos dos processos de
negócio (financeiros, corporativos, tecnológicos, operacionais, etc) para tomada de decisão e
a fim de garantir a conformidade das práticas de gestão de riscos;
XVIII - Assegurar e acompanhar revisão e atualização periódica dos controles internos
implementados;
XIX - Assessorar a auditoria interna e externa no levantamento de informações e
documentações solicitados para fins de auditoria;
XX - Define e propõe metodologias para avaliação e acompanhamento dos riscos de
Compliance;
XXI - Consolida os riscos de Compliance e ações mitigantes;
XXII - Realiza ações de promoção da cultura interna de Compliance;
XXIII - Coordena as melhorias de processos para mitigar os riscos de Compliance; e
XXIV - Monitora os riscos de Compliance.
É permitido à Área de Governança, Conformidade e Riscos o acesso a todas as áreas de negócio que
compõem a COPERGÁS e a seus respectivos dados e informações. Entretanto, não está investida de
autoridade executiva sobre nenhuma das áreas.
Gestores das áreas de negócio (responsáveis primários ou donos dos riscos – risk owners):
responsáveis primários pela Gestão de Riscos, os gestores das diversas áreas de negócio da
COPERGÁS atuam ativamente neste processo, através das seguintes ações:
I - Ter conhecimento prévio e efetuar o monitoramento dos riscos e controles, direta ou

indiretamente, envolvidos nas operações sob sua gestão;
II - Identificar as áreas, causas e consequências associadas aos riscos;
III - Assumir os riscos dentro dos limites de tolerância definidos pelo Comitê de Auditoria
Estatutário;
IV - Definir as ações mitigatórias em conjunto com a Área de Governança, Conformidade e
Riscos;
V - Buscar os recursos necessários para mitigar os riscos;
VI - Participar da avaliação do apetite e limite de tolerância dos riscos;
VII - Executar suas atividades e decisões em linha com as premissas desta política ou outras
diretrizes da COPERGÁS, de forma a minimizar a exposição da Companhia a riscos;
VIII - Reportar periodicamente à Área de Governança, Conformidade e Riscos ou ao Comitê de
Auditoria Estatutário dos eventos relevantes, que afetem o grau de exposição da COPERGÁS a
riscos; e
IX - Assegurar a implantação dos planos de resposta e monitoramento dos riscos envolvidos
nas operações sob sua gestão, de acordo com as deliberações tomadas em conjunto com a
Área de Governança, Conformidade e Riscos, Comitê de Auditoria Estatutário ou Alta
Administração.

MGR-001 1 18/55
O Anexo I – Matriz de papéis e responsabilidades do presente Manual contém a relação das

principais atividades do processo de Gestão de Riscos e os respectivos papéis e responsabilidades
dos principais atores do processo, a saber: Área de Governança, Conformidade e Riscos, Gestores
de Negócio, Comitê de Auditoria Estatutário, Diretoria Executiva e Conselho de Administração.

MGR-001 1 19/55
5.4. Processo de gestão integrada de riscos
O processo de gestão integrada de riscos foi desenvolvido conforme apresentado a seguir:
Figura 3 Processo de gestão integrada de riscos
Fonte: Elaborado por Deloitte©.
Abaixo segue breve descrição dos nove princípios fundamentais da gestão integrada de riscos:
• Definição e entendimento dos riscos: linguagem comum de riscos, que direciona tanto a
criação como a preservação de valor à empresa, e que seja consistente em todas as
Unidades de Negócio.
• Utilização de padrões e metodologias: metodologia de gestão de riscos suportada por
um padrão reconhecido (ex.: COSO® ERM, ISO 31000) para identificação, resposta e
gerenciamento dos riscos.
• Papéis e responsabilidade: papéis, responsabilidades e limites de alçada claramente
definidos e alinhados à estrutura de profissionais da empresa.
• Envolvimento da Alta Administração: órgãos de gestão (ex.: Conselho de
Administração, Comitê de Auditoria e Riscos) atuando com transparência e diligência nas
práticas de gestão de riscos.
• Responsabilidades da Alta Administração: grupo executivo responsável pelo desenho,
implantação e manutenção de um programa estruturado de gestão de riscos.
• Infraestrutura para gestão de riscos: infraestrutura única de riscos para orientar e
suportar todas as unidades e áreas de negócio em suas responsabilidades relacionadas a
riscos.
• Avaliação periódica do processo: unidades de negócio diretamente responsáveis pelo
desempenho de suas estruturas, gerenciamento dos riscos associados a elas e
comunicação/reporte à Administração.
• Responsabilidades das áreas de negócio: outras áreas asseguram, monitoram e
reportam a efetividade do processo de gestão de riscos da empresa aos órgãos de gestão.
• Suporte de funções pervasivas: determinadas áreas possuem um impacto pervasivo na
empresa (ex.: TI) e, além de prover suporte às unidades de negócio em relação ao
programa de gestão de riscos, potencializam o sucesso do gerenciamento quando
estrategicamente alinhados aos elementos do programa de riscos.
O processo de gerenciamento de riscos da COPERGÁS considera os seguintes componentes:

MGR-001 1 20/55
Figura 4 Componentes do processo de gestão de riscos
5.4.1. ETAPA DE IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS
5.4.1.1 Análise Geral de Riscos (AGR)

A AGR reflete, de maneira estruturada, as percepções dos executivos em relação aos principais
aspectos de gestão e riscos envolvidos nas operações, áreas/processos de negócio e características
da Companhia.
As origens internas ou externas, relacionadas às estratégias e aos objetivos de negócio da

Companhia são mapeadas e monitoradas para assegurar que quaisquer materializações que venham
a ocorrer sejam conhecidas e geridas em um nível aceitável.
A AGR deverá ser atualizada periodicamente (a cada 2 anos, no máximo), a fim de identificar
possíveis alterações no ambiente de negócios que possam afetar o atendimento aos objetivos de
negócio. Quaisquer mudanças identificadas devem ser registradas no documento de análise de
riscos corporativos da Companhia, conforme metodologia detalhada no tópico seguinte.
A análise Geral dos Riscos corporativos é composta pelos seguintes componentes:
5.4.1.2 Dicionário de riscos

O Dicionário de Riscos Corporativos classifica e categoriza os riscos em uma linguagem comum,
considerando as características e o ambiente de negócio da empresa.
O Dicionário de Riscos Corporativos da COPERGÁS contempla informações segregadas em quatro

principais temas, quais sejam:
 Estratégico
 Financeiro
 Operacional
 Legal

MGR-001 1 21/55
Cada tema está segregado em grupos e em cada grupo estão as categorias de riscos pertinentes à
COPERGÁS.
Figura 5 Legenda do dicionário de riscos
O universo de riscos aplicáveis à COPERGÁS está segmentado da seguinte forma:

Figura 6 Dicionário de riscos
O detalhamento contendo a definição de cada categoria encontra-se no Anexo II – Dicionário de

riscos.
Cabe a Área de Governança, Conformidade e Riscos atualizar o dicionário de riscos sempre que seja
identificado um novo risco que não possui vínculo à uma categoria existente.
5.4.1.3 Modelo de Classificação de Macroprocesso (MCP)

O MCP é utilizado para categorizar os macroprocessos-chave da Companhia e auxiliá-la na
padronização e priorização dos controles necessários para mitigação dos riscos associados. No caso
da COPERGÁS, a existência da Cadeia de Valor desenhada possibilitou a utilização desse
instrumento como MCP.
As origens de risco identificadas são vinculadas aos macroprocessos existentes na Companhia.

Dessa forma, caso sejam identificados novos processos ou realizadas novas auditorias em
processos, o modelo é atualizado.

MGR-001 1 22/55
Os macroprocessos da COPERGÁS estão segmentados nas seguintes camadas da Cadeia de Valor:
− Macroprocessos Finalísticos: refletem a atividade fim da Companhia (Core business).

− Macroprocessos de Apoio: suportam diretamente a execução dos macroprocessos
finalísticos, permitindo a gestão adequado dos aspectos mais relevantes e que impactam
diretamente a operação da Companhia.
− Macroprocessos Governança e Estratégia: propiciam a gestão estratégica e governança
corporativa da Companhia.
A seguir apresentamos o MCP da COPERGÁS, reflexo da sua Cadeia de Valor:
Figura 7 Modelo de Classificação de Macroprocessos (MCP)

MGR-001 1 23/55
5.4.1.4 Identificação de eventos

Para identificar eventos, a Área de Governança, Conformidade e Riscos utilizará os seguintes meios:
 Ferramentas de análise de risco;
 Entrevistas com a alta administração e com gestores indicados pela Diretoria Executiva;
 Utilização de questionários específicos para os principais executivos e gestores indicados;
 Avaliação dos resultados de indicadores de riscos monitorados;
 Resultados de trabalhos de auditorias, interna e externa;
 Resultados de trabalhos de compliance;
 Resultados de trabalhos de mapeamento de riscos e controles.
Para execução dessa fase, a Área de Governança, Conformidade e Riscos deve utilizar roteiro
entrevista como ferramenta específica para coleta de informações, considerando as categorias de
risco pertinentes à área do executivo avaliado, além de perguntas aplicáveis à toda a Companhia, a
fim de identificar novas origens, atualizar o status das já existentes, bem como identificar ações que
estão sendo tomadas para mitigação do risco.
Paralelamente, pode ser aplicada a coleta de dados e informações através de questionários com o
propósito de levantamento de atenuantes e agravantes dos riscos junto aos executivos indicados
pela Alta Administração.
Em ambas abordagens (entrevista e questionário), nesta etapa, será capturada a percepção de cada
executivo acerca dos controles (vulnerabilidade – atenuantes e agravantes) e relevância (impacto)
sobre cada risco de negócio.
A Área de Governança, Conformidade e Riscos deve compilar os resultados definidos, consolidando

as origens correlacionadas aos riscos de negócio provenientes das entrevistas e das ferramentas
usadas (questionário), cadastrando as informações na base de documentação e controle dos riscos e
classificando as informações apontadas enquanto atenuante ou agravante para cada categoria de
risco.
5.4.1.5 Mapa de riscos

O mapa de riscos demonstra a exposição de cada risco, ou seja, sua classificação conforme impacto
e vulnerabilidade, considerando a percepção dos executivos da Companhia, com base nas principais
conclusões sobre o grau de severidade (indicador de impacto) e grau de eficácia dos controles
(indicador de vulnerabilidade) em operação na Companhia.
O grau de exposição deverá ser graduado em quatro níveis, definidos com base no impacto e na
vulnerabilidade, utilizando-se da escala a seguir:

MGR-001 1 24/55
Figura 8 Mapa de riscos
O enquadramento da exposição ao risco se refere à extensão à qual a Companhia está exposta ou

desprotegida em relação aos impactos negativos após avaliação dos controles existentes.
5.4.1.6 Critérios para avaliação do nível de exposição do risco
5.4.1.6.1 Avaliação do impacto
Na dimensão de impacto alguns critérios para avaliação qualitativa e quantitativa são postos
como premissas, a saber:

MGR-001 1 25/55
Figura 9 Critérios para avaliação do impacto
O apetite ao risco da Alta Administração foi estabelecido com base em percentuais atrelados à
Receita Operacional Líquida (ROL), conforme coluna “Critérios para avaliação quantitativa” da Figura
8 Critérios para avaliação do impacto. Contudo, o critério e os percentuais podem ser redefinidos
pela Alta Administração e Comitê de Auditoria Estatutário, conforme processo estruturado de
aprovação formal anualmente.
O processo de avaliação de riscos consiste no desenvolvimento das seguintes etapas, que serão
detalhadas em seguida:
Figura 10 Processo de avaliação de riscos
A classificação do impacto (Extremo, Alto, Médio ou Baixo) deve partir da definição do tipo de
análise, ou seja, se o impacto será mensurado de forma quantitativa (aplicável quando da
disponibilidade de dados históricos de materialização do risco ou do valor em risco) ou qualitativa
(aplicável quando da indisponibilidade de histórico de materialização ou precisão do valor em risco).
Nesta última perspectiva, é recomendável usar o “pior cenário” (worst case) e o julgamento
profissional para determinar a avaliação sumária do impacto.
Neste sentido, a metodologia para cálculo do impacto considera os seguintes critérios/qualificadores

e pesos, respectivamente, para fins de ponderação:

MGR-001 1 26/55
Figura 11 Metodologia para avaliação de riscos
Caso a categoria de risco seja avaliada exclusivamente de forma qualitativa, dada a

indisponibilidade de histórico de materialização do risco ou do valor em risco, serão ponderados os
pesos das variáveis destacados na Análise Qualitativa da Figura 11, que totalizam 100%.
Já no caso da categoria de risco que dispuser do histórico de materialização ou valor em risco de

forma aderente e concisa, a análise será quantitativa e o valor financeiro será considerado em sua
totalidade para fins de enquadramento na escala de impacto (Baixo, Médio, Alto e Extremo),
conforme definição do apetite ao risco (Vide Figura 9 Critérios para avaliação do impacto).
5.4.1.6.2 Avaliação da vulnerabilidade

No caso da vulnerabilidade, é utilizado o julgamento profissional para determinar a avaliação
sumária dessa dimensão, considerando aspectos tais como:
 Eficácia do controle: A eficácia de capacidades existentes para gestão do risco. Inclui
fatores pessoais, tais como, ambiente ético, pressões para alcançar objetivos, competência,
adequação e integridade dos julgamentos das pessoas e da gerência. Processos incluem
adequação e eficiência dos controles internos e o grau de informações dos sistemas
corporativos;
 Resposta à experiência prévia de risco: A ação corretiva eficiente deve ser tomada após
a experiência prévia de risco. A falta de resposta eficaz às experiências prévias de risco
aumenta a vulnerabilidade;
 Complexidade ou volatilidade das atividades: O número de fatores e volatilidades
inter-relacionados de aspectos como pessoas, processos, sistemas e unidades de negócios,
incluindo dispersão geográfica de operações. A complexidade elevada aumenta a
vulnerabilidade;
 Nível de alteração nos processos (crescimento/contração): Mudanças recentes ou
futuras em pessoas chave, na estrutura organizacional, nos processos, nos sistemas, no
modelo de negócios ou na infraestrutura potencializam a vulnerabilidade;
 Condições externas: Volatilidade de condições competitivas, financeiras e econômicas.
Alta volatilidade aumenta a vulnerabilidade.
A análise da vulnerabilidade, relativa ao nível de exposição ao risco, considerando a percepção dos

executivos, o histórico de ocorrência, grau de implementação dos planos de ação, a atual estrutura
de controles da COPERGÁS e o julgamento profissional, embasam a classificação dos riscos na
dimensão da vulnerabilidade conforme a seguinte escala:

MGR-001 1 27/55
Figura 22 Critérios para avaliação da vulnerabilidade
Neste sentido, é atribuída a classificação da vulnerabilidade (Extrema, Alta, Média ou Baixa), com
base no grau de confiança combinada para todos os controles associados ao risco, utilizando as
definições da Figura 12.
5.4.1.7 Critérios para avaliação de riscos nos processos

O processo de avaliação de riscos nos processos consiste no desenvolvimento das seguintes
etapas, que serão detalhadas em seguida:
Figura 13 Processo de avaliação de riscos nos processos
Para a priorização dos processos, utilizamos os seguintes critérios/qualificadores:
Figura 143 Metodologia para avaliação de riscos nos processos
Caso o processo seja avaliado de forma exclusivamente qualitativa, quando da indisponibilidade

de dados quantitativos, serão ponderados apenas os pesos de “Avaliação dos riscos no processo” e
“Complexidade do processo”, que totalizam 100%.

MGR-001 1 28/55
Caso o processo seja avaliado de forma qualitativa e quantitativa, serão ponderados os pesos
conforme figura 14, relativo aos respectivos critérios, que totalizam 100% e incorpora o critério do
Valor (R$) financeiro envolvido.
Abaixo segue breve descrição do que representa cada critério:

 Avaliação dos riscos do processo: grau de risco do processo, considerando o
entendimento dos executivos entrevistados e respondentes dos questionários, refletida na
análise geral de riscos (AGR).
 Valor financeiro envolvido: volume financeiro envolvido para quantificação do processo.
 Complexidade do processo: nível de esforço organizacional/controle para execução e
gestão do processo analisado, considerando:
− Sistemas envolvidos;
− Áreas envolvidas.
Pode-se ainda no futuro utilizar um quarto critério: Plano de Ação, que se refere à quantidade de
recomendações implementadas e não implementadas, referente aos resultados dos ciclos de
auditoria interna ou de outros projetos de revisão de processos ou controles internos que geraram
recomendações para fortalecimento das linhas de defesa da Companhia.

MGR-001 1 29/55
5.4.2. ETAPA DE RESPOSTA E MENSURAÇÃO DE RISCOS (TRATAMENTO DE RISCOS)
5.4.2.1 Definir o agente de Gestão de Riscos (colaboradores chave)

Para a definição de indicadores de riscos, a Área de Governança, Conformidade e Riscos, em
conjunto com a Diretoria (“Process Owner”) envolvida nos principais processos afetados pelo risco,
devem definir os agentes de Gestão de Riscos (“Risk Owner”).
Os indicadores de risco são definidos para cada risco, no âmbito das áreas envolvidas e,
periodicamente, acompanhados pelos agentes supracitados.
Os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos, são responsáveis por
definir ações para mitigação dos riscos.
5.4.2.2 Definir resposta aos riscos

O objetivo dessa etapa é definir planos de ação com base na avaliação dos controles utilizados para
gerenciamento do risco, priorizando os planos relacionados aos riscos mais críticos através da
alocação eficiente dos recursos e cumprimento dos prazos exigidos.
Com base nos resultados da avaliação dos riscos prioritários, o Comitê de Auditoria Estatutário deve
aprovar o tratamento a ser dado ao risco, os quais podem ser: evitar, transferir, reduzir ou aceitar.
Caso a opção seja aceitar o risco, devem ser estabelecidas métricas de monitoramento deste. Caso
o tratamento escolhido para o risco seja reduzir, são definidos planos de ação para mitigar o nível
de exposição.
As atividades que compõem a etapa de resposta ao risco são subdivididas nas seguintes seções:
 Definir estratégias para gerenciamento de riscos;
 Elaborar os planos de ação;
 Priorizar as deficiências encontradas.
5.4.2.3 Definir estratégias para gerenciamento de riscos

A Área de Governança, Conformidade e Riscos deve discutir com o gestor do processo/área a
estratégia para gerenciamento do risco residual (resposta ao risco) levando em consideração o
impacto, a vulnerabilidade, a tolerância da alta administração e o custo-benefício. Atentar para o
fato de que sempre existirá um nível residual de risco, não apenas por causa da limitação de
recursos, mas também por causa das incertezas futuras e limitações inerentes da estrutura de
controle.
Obter a aprovação do Comitê de Auditoria Estatutário a respeito das estratégias para gerenciamento
do risco, acordadas com os gestores dos processos.
Registrar a estratégia definida em conjunto com o gestor do processo no Sistema de Gestão de

Riscos, considerando:
 Modificar o nível de exposição por meio de plano de ação, conforme estratégia de resposta
adotada: evitar, transferir, reduzir e/ou aceitar o risco;
 Assumir o risco e monitorá-lo dentro do limite de exposição aceitável, com ou sem a
utilização de Indicadores de Risco – KRI.
Produtos Gerados:
 Estratégia para gerenciamento de risco.

MGR-001 1 30/55
5.4.2.4 Elaborar os planos de ação

Os responsáveis da Diretoria (“Process Owners”), com o suporte dos agentes de Gestão de Riscos
(“Risk Owners”), devem elaborar planos de ação como resposta ao risco do processo relativo aos
controles que, na etapa de avaliação e teste de controles, foram classificados com grau de confiança
insuficiente.
Os tipos de deficiências resultantes dos testes de controles e da avaliação de controles são:

 Deficiências de controle: falhas que podem afetar adversamente a capacidade da
Companhia para iniciar, autorizar, registrar, processar, consolidar e reportar dados
financeiros e não financeiros precisos.
 Deficiências significativas/condição reportável: deficiências reportadas ao Comitê de
Auditoria Estatutário em razão da relevância da falha no desenho ou na operação de
controles internos, podendo afetar a capacidade da companhia de iniciar, autorizar,
registrar, processar, consolidar e reportar dados financeiros e não financeiros precisos.
 Fraqueza material/condição reportável: o desenho ou a operação de um ou mais
componentes dos controles internos expõe a Companhia à possibilidade de erros monetários
ou fraude de valores materiais em relação às demonstrações financeiras. Os planos de ação
correspondentes devem ter prioridade na implementação.
De acordo com o resultado da avaliação e teste, deve-se dar prioridade ao plano de ação conforme
abaixo:
 Baixa: deficiência de controle, podendo o controle não ser efetivo ou não existir;
 Média: deficiência significativa, podendo o controle não ser efetivo ou não existir;
 Alta: fraqueza material caracterizado por um controle chave não efetivo ou não existente;
Além da priorização, o plano de ação deve conter as seguintes informações:

 Recomendação: melhoria a ser implementada;
 Data-limite: prazo para implantação da recomendação;
 Responsável: indicar o responsável pelo plano de ação;
 Área responsável: indicar área responsável pelo plano de ação.
A Área de Governança, Conformidade e Riscos deve validar os aspectos identificados e definir

juntamente ao responsável primário do risco, o responsável e o prazo de implementação do plano
de ação.
Produtos Gerados:
 Planos de Ação.
5.4.2.5 Priorizar as deficiências encontradas

Para priorizar as deficiências encontradas, deve-se:
 Avaliar os recursos necessários para a implementação das recomendações (ex.: pessoas,
sistemas e orçamento);
 Priorizar as recomendações definidas no plano de ação, considerando a relação entre a
relevância da deficiência encontrada e a facilidade de implementação;

MGR-001 1 31/55
 Elaborar um cronograma para implementação de cada recomendação, considerando:

− Prazos acordados no plano de ação;
− Obtenção dos recursos necessários;
− Impacto nas atividades do processo.
 Submeter as deficiências priorizadas para análise dos responsáveis pela estrutura de
controles internos da Companhia para validação. Em seguida, a proposta de priorização
deve ser aprovada pelo Comitê de Auditoria Estatutário e Conselho de Administração.
Produtos Gerados:
 Priorização das deficiências identificadas.
5.4.2.6 Mensurar e priorizar os riscos a serem monitorados

Para mensurar riscos é necessário realizar a priorização dos principais riscos existentes nos
processos, visando, não apenas a alocação dos recursos de forma mais eficiente, como também
demonstrar os benefícios do processo de monitoramento contínuo para a Companhia.
Caso exista um grande número de riscos identificados, é recomendável priorizar aqueles para os
quais serão desenvolvidos indicadores a partir da avaliação do seu impacto e vulnerabilidade de
ocorrência.
De maneira geral, a prática demonstra que começar pelos 10 riscos mais relevantes
(extremo/alto impacto e extrema/alta vulnerabilidade) possibilita desenvolver um conjunto de
indicadores que sejam ao mesmo tempo abrangentes o suficiente para permitir o acompanhamento
dos principais fatores impactantes e específicos o suficiente para possibilitar o seu efetivo
gerenciamento.
Como ponto de partida natural para esse processo, deve-se realizar análise das informações já
existentes sobre os riscos identificados em trabalhos conduzidos pelas áreas de Auditoria interna,
Gestão de Riscos e pelos órgãos reguladores, entre outros.
5.4.2.7 Definir indicadores de riscos (Key Risk Indicator – KRI)
5.4.2.7.1. Definição de KRI e níveis de tolerância

Os indicadores de risco (KRIs) são utilizados para monitorar o grau de exposição do risco.
Não existe um número máximo ou mínimo pré-definido de KRIs e cada risco pode ter um ou mais
indicadores. O KRI deve ser relevante e sensível ao risco que ele está monitorando, ou seja, capaz
de capturar possíveis problemas que estejam ocorrendo, caso seu valor atinja um determinado
limite. Ele deve ser uma medida objetiva, eficiente e preferencialmente quantitativa.
Os níveis de tolerância podem ser:
• Máximo: requer ações que mitiguem o nível de risco;
• Preocupante: indica uma tendência do nível de risco em atingir um nível de tolerância
máxima, alertando o gestor a tomar ações de mitigação do risco;
• Aceitável: indica níveis aceitáveis de risco sem requerimento de ações específicas de
mitigação de risco.
Os indicadores de riscos são associados às áreas responsáveis, de acordo com as especificidades

analisadas, para que ações preventivas ou corretivas possam ser tomadas caso seu resultado
MGR-001 1 32/55
sinalize que o risco se materializou, esteja em vias da ocorrência do evento de risco ou tenha
ultrapassado o limite de tolerância a risco.
Produtos Gerados:
 KRIs definidos;
 Lista dos riscos que serão monitorados por KRIs.
5.4.2.7.2. Registro e monitoramento de KRIs

Os indicadores de risco (KRIs) devem ser definidos e monitorados por meio do Sistema de Gestão
de Riscos, contemplando o detalhamento dos indicadores e o associando aos riscos que já estão
monitorados.
Nesta etapa, os seguintes itens devem ser considerados para fins de documentação dos KRIs:
• Indicador: referência do indicador;
• Objetivo: descrição do objetivo do indicador;
• Responsável: responsável primário do risco;
• Processos associados: relação de processos associados ao risco;
• Fórmula: fórmula sugerida para o cálculo do indicador;
• Componentes: descrição dos elementos necessários para o cálculo do indicador conforme
apresentado na fórmula;
• Fonte: sistemas ou documentações bases dos componentes;
• Acompanhamento: periodicidade de cálculo do indicador;
• Status: indicação quanto ao status de implementação do indicador, conforme segue: KRI
não implementado ou KRI implementado;
• Limite de tolerância: valores a partir dos quais são justificadas análises sobre as razões
das variações apresentadas;
• Entendimento da variação: descrição das possíveis razões que originaram as variações
no indicador;
• Unidade de medida: representa como o indicador será medido, por exemplo, em valor
percentual (%);
• Resultado: descrição do resultado.
5.4.2.7.3. Mapeamento das fontes de dados e coleta de informações

Uma vez definido como os indicadores que serão documentados, o próximo passo para o
desenvolvimento da matriz de indicadores consiste em priorizar, entre as inúmeras informações
disponíveis na Companhia, aquelas que por sua natureza, relevância e disponibilidade poderão ser
fonte de alimentação dos indicadores de risco.
Eventualmente, o mapeamento da localização dos dados nos sistemas de origem exige o envolvendo
do analista de TI, que possui conhecimento técnico mais avançado acerca dos sistemas da
Companhia. O mapeamento da localização dos dados é fundamental para a posterior implementação
do indicador no Sistema de Gestão de Riscos.
A partir do levantamento das informações disponíveis, inicia-se um processo de análise para

determinar quais informações têm uma relação de causa/ efeito nos riscos a serem acompanhados.
MGR-001 1 33/55
Os dados necessários para cálculo do indicador podem ser obtidos dos sistemas da Companhia de
forma automática ou através de procedimentos alternativos de coleta, a serem definidos e
implementados para cada risco analisado.
É imprescindível a definir a periodicidade e forma de obtenção de dados, sendo preferencial que seja
de forma automatizada (exemplo: geração de query, batches, via arquivos, etc.). Caso os dados
não estejam disponíveis de forma automática, é importante avaliar a melhor forma para registro
manual dos dados (ex. planilhas, arquivos “.txt”, etc.).
5.4.2.7.4. Testes de aderência dos KRIs

O KRI precisa de uma fase de testes para validar seus atributos (principalmente sua fórmula e
periodicidade de cálculo) e, posteriormente, estabelecer limites (níveis de tolerância) que indiquem
a materialização dos riscos, antes de ser colocado em produção.
Neste sentido, faz-se necessário obter os dados para teste do KRI e avaliar se os resultados obtidos
são factíveis, observando:
• Integridade e confiabilidade dos dados, verificando nível de oscilação do resultado no
período analisado e a sensibilidade do indicador ao risco;
• Tempo de processamento do cálculo do indicador, verificando se está adequado ou
está muito acima do esperado;
• Viabilidade de cálculo do indicador, conforme a periodicidade definida.
Após os testes, são procedidos os ajustes necessários no KRI e a análise é repetida até que o
indicador esteja pronto para ser colocado em produção.
A partir dos resultados dos testes, também deve-se definir:

• Limites realísticos para os três níveis de tolerância, de forma que o gestor possua
parâmetros para o monitoramento dos riscos. Os limites não devem ser alterados com
muita frequência, possibilitando o estabelecimento de tendências do KRI;
• Periodicidade e forma de coleta dos dados;
• Ações preventivas ou corretivas que devem ser tomadas, os respectivos responsáveis
e o nível de reporte, quando os KRIs atingirem os limites de cada nível de tolerância;
• A melhor forma de utilizar os resultados dos KRIs, ou seja, se o número deverá ser
comparado a séries históricas existentes ou a um padrão preestabelecido ou se deve oscilar
dentro de um intervalo predefinido;
• Como a análise poderá ser decomposta (exemplos: por produto, área de negócio,
período, funcionário, etc.).
5.4.2.7.5. Mensuração do KRI

O objetivo desta etapa é obter os dados para cálculo dos KRIs.
As atividades que compõe a etapa de mensuração são subdivididas nas seguintes categorias:
 Capturar dados automaticamente;
 Registrar dados manualmente.
5.4.2.7.5.1. Capturar dados automaticamente

MGR-001 1 34/55
Inicialmente, é realizada a verificação e certificação de que todos os dados necessários para efetivar
a carga para cálculo dos KRIs estão disponíveis e, em seguida, executado o procedimento para
captura automática de cada indicador, de acordo com a respectiva periodicidade de coleta.
Após o cálculo automático, é verificado se não ocorreu problemas na captura automática dos dados,
por exemplo, por meio de relatórios de críticas.
5.4.2.7.5.2. Registrar dados manualmente

Após a obtenção dos dados do KRI, deve-se alimentar as planilhas, em Excel, específicas para
inclusão/importação dos dados no Sistema de Gestão de Riscos, de acordo com a periodicidade
específica definida.
Produtos Gerados:
 Atualização do sistema com as informações para cálculo dos KRIs.
5.4.2.7.6. Análise de resultados e reporte dos KRIs

Após a implantação em produção e realização do cálculo do indicador, deve-se analisar o resultado
da avaliação de riscos do processo e identificar aqueles que apresentarem grau de exposição
extrema/ alta ou perdas relevantes materializadas. Para cada indicador, devem ser estabelecidos os
seguintes aspectos:
 Ações preventivas ou corretivas que devem ser tomadas;
 Os respectivos responsáveis e o nível de reporte, quando os indicadores atingirem os limites
de cada nível de tolerância;
 Como a análise poderá ser decomposta (exemplos: por produto, área de negócio, período,
colaborador, etc.).
A Área de Governança, Conformidade e Riscos deve definir, junto ao agente de Gestão de Riscos
responsável pelo indicador, a periodicidade com que esse deve ser revisado (pelo menos
anualmente), para que as alterações que se fizerem necessárias nos processos, nos produtos, nos
controles, nos sistemas e nos próprios riscos sejam refletidas.
Periodicamente, os resultados dos indicadores são reportados para a Diretoria, conforme frequência
estabelecida para cada risco e ao Comitê de Auditoria Estatutário e Conselho de Administração, de
acordo com os respectivos calendários de reuniões. O reporte deve ser realizado através de
relatórios que serão utilizados para acompanhamento contendo informações apresentadas de forma
gráfica, com tendência do indicador (de alta, estável, baixa), a evolução histórica do indicador e,
opcionalmente, utilização de mais de uma opção de visualização.
Caso o nível de tolerância definido para o risco seja excedido, devem ser definidos planos de ação
para tratamento do risco, considerando o resultado do indicador reportado pelo agente de Gestão de
Riscos e Área de Governança, Conformidade e Riscos.
Os responsáveis pela elaboração do plano de ação são os agentes de Gestão de Riscos, com o
suporte dos Diretores envolvidos nos processos associados ao risco e da Área de Governança,
Conformidade e Riscos.
Produtos Gerados:
 Relatório de monitoramento dos KRIs;

 Periodicidade de revisão dos indicadores.

MGR-001 1 35/55
5.4.2.8 Estabelecer níveis tolerância e apetite ao risco

Os níveis de apetite a risco devem ser sugeridos pela Diretoria e agentes de Gestão de Riscos, sendo
apreciados pelo Comitê de Auditoria Estatutário e aprovados pelo Conselho de Administração,
considerando a característica de cada indicador. O nível de tolerância é definido individualmente
para cada risco.
Podem ser utilizadas informações já existentes na Companhia como, por exemplo, a materialidade
ou impacto nos resultados. Com base na definição do apetite ao risco, devem ser aplicados os níveis
de tolerância a cada risco encontrado.
5.4.3. ETAPA DE MONITORAMENTO CONTÍNUO E REPORTE DOS RISCOS

Para que o gerenciamento de riscos seja efetivo, a Área de Governança, Conformidade e Riscos deve
realizar o monitoramento das atividades realizadas para mitigar os riscos.
As atividades que compõem essa etapa são subdivididas nas seguintes seções:
 Acompanhar e atualizar o status de implementação dos planos de ação;
 Emitir relatório de Gestão de Riscos.
5.4.3.1 Acompanhar e atualizar o status de implementação dos planos de ação

A Área de Governança, Conformidade e Riscos deve definir a periodicidade com que será realizado o
acompanhamento dos planos de ação, contatar o responsável pela implementação e questionar, de
acordo com a prazo estabelecido, sobre o status das atividades.
O status das ações (percentual de implementação) deve ser atualizado no Sistema de Gestão de
Riscos. Deve ser procedida a análise do percentual de implementação dos planos de ação em
relação aos prazos acordados para conclusão. Caso não seja possível implementá-los dentro dos
prazos acordados, deve-se verificar as justificativas pelo não cumprimento e definir, em conjunto
com o responsável uma nova data para conclusão da implantação.
O novo prazo deve ser validado para implementação do plano de ação com o gestor do
processo/área e, em seguida, deve ser registrado no Sistema Gestão de Riscos, adicionando as
justificativas, agrupadas por categorias (em campo comentário), por exemplo:
• Falta de recursos;
• Prazo subestimado;
• Alteração nos sistemas;
• Mudança de estratégia.
Produtos Gerados:
 Status do Plano de Ação.
5.4.3.2 Emitir relatório de Gestão de Riscos

As informações pertinentes à Área de Governança, Conformidade e Riscos serão periodicamente
reportadas à Alta Administração e conterão, ao menos:
 Mapa de riscos;
 Resumo dos riscos prioritários e suas avaliações finais;
MGR-001 1 36/55
 Resumo das principais deficiências de controle;

 Resultados dos indicadores de riscos e perdas materializadas;
 Resumo do status dos planos de ação;
 Responsáveis pela implementação dos planos de ação.
5.4.3.3 Emitir relatório de Controles Internos

Os relatórios de controles internos da COPERGÁS serão emitidos periodicamente, contemplando o
resultado do monitoramento de cada macroprocesso definido no MCP. As informações a serem
reportadas devem contemplar:
• Mapa de riscos;
• Resumo dos riscos associados aos macroprocessos e suas respectivas avaliações finais;
• Resumo das principais deficiências de controle (deficiências significantes e fraquezas
materiais);
• Histórico de perdas associadas a cada risco;
• Resumo dos planos de ação.
Esses relatórios serão submetidos a revisão do Comitê de Auditoria Estatutário da COPERGÁS.
Produtos Gerados:
 Monitoramento de atividades pendentes;

 Relatórios pontuais com eventos de risco relevantes.
5.4.3.4 Emitir outros relatórios de acompanhamento dos gestores

Relatórios específicos e pontuais devem ser estruturados e enviados tempestivamente aos gestores
e Comitê de Auditoria Estatutário, com objetivo de acompanhar o andamento das atividades de auto
avaliação, testes e status de implementação, bem como a ocorrência de eventos de risco relevantes.
Para tal, é deve ser definida uma escala de reporte conforme período em que determinadas
atividades estão em atraso. Por exemplo:
• 30 dias após o vencimento do prazo: reiteração ao destinatário original;
• 45 dias após o vencimento do prazo: reiteração ao destinatário original, com cópia para
o superior;
• 60 dias após o vencimento do prazo: reiteração ao superior, com cópia aos destinatários
anteriormente cobrados;
• 75 dias após o vencimento do prazo: cobrança direta à Diretoria Executiva da área
envolvida;
• 90 dias após o vencimento do prazo: comunicação ao Comitê de Auditoria Estatutário da
COPERGÁS.
Produtos Gerados:
 Monitoramento de atividades pendentes;

 Relatórios pontuais com eventos de risco relevantes.

MGR-001 1 37/55
Apresentamos, a seguir, um detalhamento dos

5.5. Metodologias principais aspectos relacionados a cada um
dos componentes do COSO:
5.5.1. COSO® ERM
5.5.1.1 Ambiente de Controles
A estrutura do COSO® ERM define que a
implementação de uma estrutura de controles Figura 16 COSO® ERM – Internal Environment
internos deve contemplar oito componentes
inter-relacionados, considerando todas
unidades, processos, subprocessos e
atividades da Companhia.
Esses oito componentes direcionam a forma

como a Companhia pode elaborar o desenho,
a implementação e a manutenção de sua
estrutura de controles internos, contemplando
quatro objetivos principais, a saber:
 Agregar valor aos acionistas através

de objetivos ESTRATÉGICOS
alinhados à missão/ visão da
Companhia;
Fonte: COSO© ERM.
 Promover a eficácia e eficiência
OPERACIONAIS;
A visão da Companhia determina a cultura de
 Assegurar a confiabilidade dos seus colaboradores no tratamento de aspectos
RELATÓRIOS FINANCEIROS; relacionados à sua estrutura de controles
 Manter CONFORMIDADE com as leis e internos, influenciando a manutenção de uma
regulamentações vigentes. estrutura eficiente e alinhada com os objetivos
e riscos desta.
A figura 15 representa ilustração da estrutura
do COSO® ERM com seus oito componentes O comprometimento e a participação do
associados aos objetivos (Estratégicos, Conselho de Administração são fundamentais
Operacionais, Relatórios Financeiros e para o sucesso da gestão de risco.
Conformidade) e às unidades/divisões da
Companhia: O ambiente de controles é a base para todos
os outros componentes da estrutura de
Figura 15 COSO® ERM – International Integrated Framework
controles, estabelecendo o desenho, o
gerenciamento, o monitoramento e a
disciplina dos colaboradores, em relação à
estrutura de controles internos.
Os fatores relacionados à definição do

ambiente de controles/negócios contemplam:
Filosofia de Gestão de Riscos:

disseminação da filosofia da gestão de riscos
de maneira clara e para todos os empregados
da Companhia. É importante que a Alta
Administração demonstre continuamente a
preocupação com o gerenciamento de riscos.
Fonte: COSO© ERM. Apetite ao risco: exposição ao risco que a

Companhia está disposta a aceitar para atingir
suas metas, objetivos e geração de valor,
MGR-001 1 38/55
estando diretamente relacionada com a sua políticas e os procedimentos de contratação,

estratégia. treinamento, avaliação de desempenho,
promoção e remuneração dos colaboradores.
Cultura sobre riscos: práticas, valores e
atitudes que caracterizam a forma como a O ambiente de controle deficiente pode
Companhia aborda os riscos em suas incapacitar toda a estrutura de controles
atividades diárias. internos da Companhia, pois mesmo que os
demais componentes da estrutura tenham
Integridade e valores éticos: Alta sido, conceitualmente, bem implementados,
Administração da Companhia atua como somente uma cultura organizacional focada
modelo de ética para seus colaboradores, nos aspectos de controle irá determinar a
clientes, fornecedores, investidores e público utilização eficiente dessa estrutura.
em geral, além do estabelecimento de
5.5.1.2 Definição dos Objetivos
políticas e códigos de ética, de maneira a
formalizar e comunicar esses valores éticos Figura 47 COSO® ERM – Objective Setting
aos empregados.
Comprometimento com a competência:
definição formal das atribuições e
responsabilidades dos empregados
devidamente associadas à descrição dos
conhecimentos e habilidades necessários para
execução das atividades da Companhia.
Conselho de Administração e Comitê de

Auditoria Estatutário: Conselho de
Administração e Comitê de Auditoria
Estatutário independentes, atuando de forma
integrada com os auditores internos e
externos, a fim de possibilitar avaliações e
julgamentos imparciais sobre as questões
Fonte: COSO© ERM.
mais significativas da Companhia.
As organizações, em todos os seus níveis,
Filosofia e estilo de gestão: perfil da Alta
enfrentam riscos internos e externos que
Administração perante os riscos, os princípios
ameaçam a capacidade de competição, a
contábeis adotados e as decisões operacionais
saúde financeira, a imagem e a manutenção
na Companhia.
da qualidade de seus produtos, serviços e
empregados.
Estrutura organizacional: adequação da
estrutura às operações da Companhia,
O estabelecimento de objetivos internamente
garantindo inclusive o bom fluxo de
consistentes e em linha com os diferentes
informações e a atuação dos elementos de
níveis da Companhia é fundamental para a
monitoramento da estrutura de controles.
efetiva identificação de eventos, a avaliação e
o posicionamento com relação aos riscos.
Autoridade e responsabilidade: definição
dos limites de autoridade, considerando a
Os objetivos são definidos pela Alta
adequação dos aspectos de responsabilidade
Administração em linha com a missão, a visão
em relação à autoridade dos empregados.
e o apetite ao risco da Companhia, o qual
direciona o nível de tolerância a eles em suas
Políticas e Procedimentos de recursos
atividades.
humanos: práticas que indiretamente
direcionam os empregados quanto aos níveis
A gestão de riscos deve assegurar que os
esperados de seu comportamento,
gerentes possuam um processo para definir e
considerando os aspectos de integridade, ética
alinhar os seus objetivos em consonância com
e competência. Essas práticas abrangem as
MGR-001 1 39/55
a missão/visão da Companhia e que esteja A Alta Administração deve identificar

respeitando a exposição/apetite a risco. potenciais eventos que possam afetar a
habilidade da Companhia em implementar
Os objetivos da Companhia podem ser suas estratégias e atingir seus objetivos com
classificados em quatro categorias, conforme sucesso.
segue: Nessa identificação devem ser considerados os
fatores externos (econômicos, de negócio,
Estratégico: principais metas e alinhado à ambientais, políticos, sociais e tecnológicos) e
missão/ visão da Companhia. Os objetivos internos (infraestrutura, funcionários,
estratégicos refletem a escolha da processos e tecnologia).
administração em como a Companhia
trabalhará para criar valor aos seus A metodologia para identificação de eventos
acionistas. (passados e prováveis) adotada pela
Companhia deve contemplar uma combinação
Operacional: eficiência e efetividade das de técnicas e ferramentas de suporte.
operações da Companhia, incluindo metas de
desempenho e de rentabilidade. A estrutura Como exemplo de eventos passados temos:
dos objetivos operacionais varia em virtude
• Mudanças nos preços das commodities;
das escolhas da administração.
• Histórico de oscilações cambiais que
Reporte de Informações: efetividade da impactam no negócio;
Companhia em reportar informações interna
ou externamente, sejam elas, financeiras ou
• Perda de tempo com imprevistos.
não financeiras, considerando a política da Como exemplo de prováveis eventos futuros
transparência para com o mercado e temos:
acionistas.
• Mudanças demográficas;
Compliance (Conformidade): aderência da • Novos mercados;
Companhia às leis e regulamentações
aplicáveis à sua operação. Os objetivos • Ações dos concorrentes.
dependem de fatores externos e tendem a ser Os eventos devem ser agrupados em
similares em organizações que atuam no categorias (horizontalmente na Companhia e
mesmo ramo. verticalmente nas unidades operacionais)
permitindo à Alta Administração desenvolver
5.5.1.3 Identificação de Eventos uma melhor compreensão do inter-
Figura 18 COSO® ERM – Event Identification relacionamento entre os diferentes eventos e
possibilitando a coleta de informações mais
completas e precisas que serão utilizadas
como base para avaliação de riscos.
5.5.1.4 Avaliação de Riscos
Figura 19 COSO® ERM – Risk Assessment
Fonte: COSO© ERM.

MGR-001 1 40/55
Fonte: COSO© ERM. 5.5.1.5 Resposta ao Risco

Identificação e análise dos riscos relevantes
Fonte: COSO© ERM.
que comprometam o atendimento dos
objetivos da Companhia, formando uma base Figura 20 COSO® ERM – Risk Response
para determinar como os riscos devem ser A
gerenciados.
A Alta Administração deve avaliar os eventos

pelo seu impacto e probabilidade de
ocorrência e utilizar metodologias de
mensuração quantitativa e qualitativa.
O processo de análise geral de riscos é

dinâmico, interativo e frequentemente
integrado ao processo de planejamento
estratégico da Companhia, e sua elaboração
deve considerar os seguintes aspectos:
Identificação dos Riscos: mapeamento dos

riscos inerentes, nos níveis estratégicos e Alta Administração determina seu
operacionais, através da identificação da posicionamento (resposta) com relação ao
exposição da Companhia aos fatores de riscos risco, considerando seus efeitos (impacto e
internos e externos. probabilidade do evento), nível de tolerância e
custo-benefício.
Análise de Riscos: estimativa dos impactos
dos riscos e probabilidade de sua ocorrência Existem quatro categorias de resposta aos
na Companhia, além de avaliações quanto a riscos:
forma de gerenciamento dos riscos, ações
necessárias para sua redução e respectivo Evitar: ações para evitar atividades que
custo dessas ações. Esta análise deve aumentem a probabilidade de ocorrência do
contemplar a avaliação dos riscos residuais e risco.
inerentes às atividades.
Reduzir: ações tomadas para minimizar a
Gestão de Mudanças: alterações na probabilidade e/ou o impacto do risco.
estrutura interna, na indústria, no cenário
econômico ou em outros elementos externos Compartilhar/Transferir: atividades que
podem alterar a exposição da Companhia aos visam reduzir o impacto e/ou a probabilidade
riscos; assim, essas mudanças devem ser de ocorrência do risco através da transferência
continuamente monitoradas para que seus ou, em alguns casos, do compartilhamento de
impactos sejam identificados e endereçados uma parte do risco.
dentro da análise de riscos da Companhia.
Aceitar: nenhuma ação é tomada que afete o
A eliminação total dos riscos é, na prática, impacto e/ou a probabilidade de ocorrência do
impossível, pois a própria existência da risco.
Companhia é um fator gerador de riscos.
Nesse contexto, a análise geral de riscos Como parte do gerenciamento do risco, a
fornece um mapa dos riscos da Companhia, Companhia terá uma resposta específica para
proporcionando um mecanismo para cada risco significante, devendo reavaliá-lo
priorização destes e, consequentemente, uma com base em sua classificação residual.
ferramenta de direcionamento dos esforços
para minimizar os riscos mais significativos A Alta Administração deve buscar uma
através de uma estrutura de controles sinergia com os gerentes responsáveis pelos
internos alinhada aos riscos da Companhia. departamentos, funções e unidades de
negócios, orientando-os a avaliar os riscos e
MGR-001 1 41/55
mostrando as suas atribuições e

responsabilidades no gerenciamento dos Revisões Operacionais: análise de relatórios
riscos. verificando consolidações realizadas,
tendências, conformidade de relatórios para
A Alta Administração deve reconhecer que órgãos reguladores, etc.;
sempre existirá um nível residual de risco, não
apenas por causa da limitação de recursos, Processamento de Informações: controles
mas também por causa das incertezas futuras que asseguram os dados dos sistemas
e limitações inerentes a todas as atividades. aplicados quanto à exatidão, integridade,
totalidade e autorização das transações
5.5.1.6 Atividades de Controle realizadas;
Figura 21 COSO® ERM – Control Activities
Controles Físicos: contagens periódicas e
comparações com os registros de controle de
inventários, ativos fixos, valores em espécie e
outros ativos;
Indicadores de Desempenho: dados para

direcionar ações operacionais e estratégicas
utilizados na identificação de falhas de
processos e controles;
Segregação de Funções: divisão ou

segregação das atividades entre diferentes
colaboradores criando pontos de checagem e
evitando a propagação de erros no processo.
Apesar da grande variedade de formas de

Fonte: COSO© ERM.
atividades de controle, todas são baseadas em
dois elementos principais:
Políticas e procedimentos elaborados para
assegurar que as diretrizes e os objetivos Políticas: estabelecem quais ações devem ser
definidos pela Companhia, para minimizar executadas; e
seus riscos, estão sendo observados nas
atividades executadas pelos empregados. Procedimentos: apresentam como são
executadas essas ações. As políticas e,
As atividades de controle ocorrem em todos os principalmente, os procedimentos, devem ser
níveis da Companhia e abrangem atividades reavaliados sempre que ocorram mudanças
como aprovações, autorizações, verificações, significativas na estrutura da Companhia, em
reconciliações, revisões de desempenho seus processos, sistemas, modelo de negócio
operacional, segurança de ativos e segregação e ambiente regulatório.
de funções.
O desenho das atividades de controle deve
Os principais tipos de atividades de controle refletir a priorização dos riscos e sua eficácia
são: avaliada continuamente, através de ações de
monitoramento, para garantir que os riscos
Revisões Estratégicas: incluem análise estão sendo efetivamente minimizados.
comparativa dos resultados realizados com
orçamentos, previsões, dados históricos e
concorrência;

MGR-001 1 42/55
5.5.1.7 Informação e Comunicação comunicação devem estar disponíveis a todos

Fonte: COSO ©
ERM. os colaboradores da empresa, e os canais com
® clientes, fornecedores e outros agentes
Figura 5 COSO ERM – Information & Communication
externos devem ser abertos e eficientes.
2222
Os principais aspectos que devem ser
implementados para garantir a comunicação
eficiente são:
Mecanismos de Divulgação: meios de

disponibilização de informações. As principais
informações que podem ser divulgadas
através desses meios são, entre outras, visão,
missão, políticas, procedimentos,
responsabilidades dos colaboradores,
estrutura organizacional, plano de benefícios,
recrutamento interno e externo e níveis de
alçada.
São as práticas utilizadas pela Companhia
Ferramentas de Sugestões: mecanismos
para capturar e comunicar as informações
para os colaboradores comunicarem suas
pertinentes, em formato e prazo que
ideias para o aprimoramento dos processos
possibilitem a execução das responsabilidades
internos e outras informações relevantes.
dos colaboradores.
Canais de Comunicação Externos: meios
Informação é necessária em todos os níveis da
de divulgação de informações de interesse
Companhia para a execução das atividades e o
geral ao público, agentes reguladores,
atendimento aos objetivos do negócio. Os
acionistas, etc. Esse aspecto engloba também
sistemas de informação capturam, processam
os mecanismos de informação com clientes e
e reportam a informação, considerando
fornecedores, como call centers e mecanismos
atividades e eventos internos e externos à
de B2B e B2C.
empresa, os quais são necessários aos
processos operacionais, bem como para
Os aspectos de informação e comunicação
tomada de decisão e emissão de relatórios
dentro da estrutura de controle da Companhia
externos.
são a base para que os colaboradores
entendam seu papel dentro dessa estrutura de
Dessa forma, as práticas de controle sobre os
controle e tenham disponíveis as informações
sistemas de informação devem garantir os
necessárias e assertivas para a execução de
seguintes aspectos:
suas atividades.
Relevância: o conteúdo da informação é
apropriado e relevante ao pessoal que a
utiliza.
Disponibilidade e Acesso: a informação

está disponível quando necessária e somente
é acessada por pessoal autorizado.
Exatidão: a informação é a mais atual e

correta possível.
A comunicação eficiente também deve fluir em

todos os níveis e em todos os sentidos na
Companhia. Dessa forma, os meios de
MGR-001 1 43/55
5.5.1.8 Monitoramento mecanismos de verificação de erros e

exceções que podem identificar falhas na
Figura 23 COSO® ERM – Monitoring estrutura de controles internos da Companhia.
Agentes Externos: as comunicações de

agentes externos (clientes, fornecedores,
órgãos reguladores, instituições financeiras,
etc.), comparadas aos relatórios internos,
podem identificar inconsistências e falhas na
estrutura de controles internos.
Inventário Periódico: os dados dos sistemas

de informação da Companhia são comparados
com contagens físicas periódicas, e a análise
das divergências fornece base para a
identificação de falhas na estrutura de
controle.
Fonte: COSO© ERM. Auditores Internos e Externos: as revisões

realizadas pelos auditores identificam
A estrutura de controles internos sofre oportunidades de melhoria nos controles
mudanças e evolui com o tempo. Assim, um internos da Companhia.
controle eficaz em um cenário passado pode
se tornar menos eficaz ou até obsoleto Self-Assessments: as autoavaliações das
dependendo das mudanças ocorridas na áreas operacionais realizadas pelos
Companhia, em sua indústria de atuação ou empregados que executam as atividades de
no ambiente externo. controle podem identificar pontos de melhoria
e atualização da estrutura de controles
Dessa forma, a estrutura de controles internos internos.
deve ser monitorada para avaliar a qualidade
e a atualização dos controles no tempo. Esse Monitoramento contínuo: utilização de
objetivo é atingido com atividades recorrentes modelos de Value-At-Risk – VAR, Stress-
de monitoramento ou procedimentos de Testing e análise das variâncias e
avaliações independentes periódicas, ou, comparações para avaliar os impactos das
ainda, uma combinação desses dois mudanças do mercado na posição financeira
mecanismos. da Companhia.
A frequência dos procedimentos de avaliação Auditoria Interna e Externa: atuação

independentes depende de uma análise dos tempestiva da auditoria interna e externa,
riscos aplicáveis aos processos, bem como da que, através das recomendações de
eficiência das atividades recorrentes de melhorias, fortalece o processo de
monitoramento. Em ambos os casos, as gerenciamento de riscos.
deficiências dos controles internos devem ser
reportadas tempestivamente à Gerência e, Treinamento e Seminários: atualização
dependendo do impacto dessas deficiências, à sobre as melhores práticas em gestão de
Alta Administração. riscos e demonstração de resultados trazidos
por um processo efetivo de gestão de riscos.
As principais atividades de monitoramento
incluem: Os aspectos de monitoramento são essenciais
para avaliar a estrutura de controle,
Conciliações: as comparações entre os verificando sua eficiência em minimizar a
valores registrados nos relatórios das áreas exposição da Companhia aos seus riscos
operacionais e os valores apresentados pelos internos e externos.
demonstrativos contábeis fornecem
MGR-001 1 44/55
Considerando as características desses oito elaboração e divulgação de

componentes, o COSO® define as seguintes informações financeiras); e
etapas para a implementação da estrutura de − Conformidade (direcionando o
controles: atendimento às leis e
• Estímulo e disseminação de uma regulamentações aplicáveis).
cultura de controles por toda a
• Identificação e avaliação dos riscos
Companhia.
que impactam os objetivos definidos.
• Definição dos objetivos do negócio em • Avaliação dos controles, com base nos
níveis estratégicos e operacionais. riscos identificados, considerando
Nessa definição, o COSO® classifica os atividades de controle, de informação/
objetivos como: comunicação e de monitoramento,
identificando oportunidades de
− Estratégicos (alinhados à melhorias e incrementando a
missão/visão da Companhia); estrutura de controle com essas
− Operacionais (direcionando a oportunidades.
eficiência das operações e
salvaguarda de ativos);
− Relatórios Financeiros
(direcionando a integridade na

MGR-001 1 45/55
no estágio inicial
do processo. A
5.5.2. ABNT ISO 31000:2009 comunicação e consulta, interna e externa,
A Norma Brasileira ISO 31000:2009, trata dos deve assegurar que os responsáveis pela
princípios e diretrizes da Gestão de Riscos. De implementação do processo de gestão de
acordo com a referida norma o processo de riscos e as partes interessadas compreendam
Gestão de Riscos deve ser parte integrante da os fundamentos sobre os quais as decisões
gestão, incorporado na cultura e nas práticas são tomadas e as razões pelas quais ações
e adaptado aos processos de negócios da específicas são requeridas. [ABNT ISO
organização. 31000:2009, definição 5.2]
A figura a seguir, ilustra as principais etapas Uma abordagem de equipe consultiva pode:
do processo de gestão de riscos: • Auxiliar a estabelecer o contexto
apropriadamente;
Figura 64 ISO 31000:2009 – Processo de gestão de riscos
• Assegurar que os interesses das
partes interessadas sejam
compreendidos e considerados;
• Auxiliar a assegurar que os riscos
sejam identificados adequadamente;
• Reunir diferentes áreas de
especialização em conjunto para
análise dos riscos;
• Assegurar que diferentes pontos de
vista sejam devidamente
considerados quando da definição dos
critérios de risco e na avaliação dos
Fonte: ISO 31000:2009. Elaborado por Deloitte©. riscos;
• Garantir o aval e o apoio para um
5.5.2.1 Comunicação e consulta plano de tratamento;
Figura 257 ISO 31000:2009 – Comunicação e consulta • Aprimorar a gestão de mudanças
durante o processo de gestão de
riscos; e
• Desenvolver um plano apropriado
para comunicação e consulta interna e
externa.
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
A comunicação e consulta devem ser permear

as atividades de todas as fases do processo de
gestão de riscos, envolvendo as partes
interessadas internas e externas. Convém,
contudo, a definição da estratégia e diretrizes
de comunicação e consulta seja desenvolvida
MGR-001 1 46/55
5.5.2.2 Estabelecimento do contexto organização em que o processo de gestão de

Figura 26 ISO 31000:2009 – Estabelecimento do contexto
riscos está sendo aplicado. A gestão dos riscos
deve ser realizada com plena consciência da
necessidade de justificar os recursos
utilizados. Cabe ressaltar que os recursos
requeridos, as responsabilidades e as
autoridades, além dos registros a serem
mantidos, também sejam especificados.
[ABNT ISO 31000:2009, definição 5.3.4]
Por fim, a organização deve definir os

critérios a serem utilizados para avaliar a
significância do risco. Tais critérios devem
refletir os valores, objetivos e recursos da
organização. Alguns podem ser impostos por,
ou derivados de requisitos legais e
Fonte: ISO 31000:2009. Elaborado por Deloitte©. regulatórios e outros requisitos que a
organização subscreva. É importante que os
Ao estabelecer o contexto, a organização critérios de risco sejam compatíveis com a
articula seus objetivos, define os parâmetros política de gestão de riscos da organização,
externos e internos a serem levados em definidos no início de qualquer processo de
consideração ao gerenciar riscos, e estabelece gestão de riscos e analisados criticamente de
o escopo e os critérios de risco para o restante forma contínua. [ABNT ISO 31000:2009,
do processo. [ABNT ISO 31000:2009, definição 5.3.5]
definição 5.3]
5.5.2.3 Processo de avaliação de riscos
Entender o contexto externo é importante
Figura 278 ISO 31000:2009 – Processo de avaliação de
para assegurar que os objetivos e as
riscos
preocupações das partes interessadas
externas sejam considerados no
desenvolvimento dos critérios de risco. O
contexto externo é baseado no contexto de
toda a organização, porém com detalhes
específicos sobre requisitos legais e
regulatórios, percepções de partes
interessadas e outros aspectos dos riscos
específicos para o escopo do processo de
gestão de riscos. [ABNT ISO 31000:2009,
definição 5.3.2]
Convém que o processo de gestão de riscos

esteja alinhado com a cultura, processos,
estrutura e estratégia da organização. O Fonte: ISO 31000:2009. Elaborado por Deloitte©.
contexto interno é algo dentro da

organização que pode influenciar a maneira 5.5.2.3.1. Identificação de riscos
pela qual uma organização gerenciará os A organização deve empenhar esforços na
riscos. [ABNT ISO 31000:2009, definição identificação das fontes de risco, áreas de
5.3.3] impactos, eventos (incluindo mudanças nas
circunstâncias) e suas causas e consequências
Quando ao contexto do processo de gestão potenciais. A finalidade desta etapa é gerar
de riscos faz-se necessário o estabelecimento uma lista abrangente de riscos baseada nestes
dos objetivos, das estratégias, do escopo e eventos que possam criar, aumentar, evitar,
dos parâmetros das atividades da reduzir, acelerar ou atrasar a realização dos
organização, ou daquelas partes da objetivos. É importante identificar os riscos
MGR-001 1 47/55
associados com não perseguir uma especialistas, a incerteza, a disponibilidade, a

oportunidade. A identificação abrangente é qualidade, a quantidade e a contínua
crítica, pois um risco que não é identificado pertinência das informações, ou as limitações
nesta fase não será incluído em análises sobre a modelagem. [ABNT ISO 31000:2009,
posteriores. [ABNT ISO 31000:2009, definição definição 5.4.3]
5.4.2]
A análise de riscos pode ser realizada com
Convém que a organização aplique diversos graus de detalhe, dependendo do
ferramentas e técnicas de identificação de risco, da finalidade da análise e das
riscos que sejam adequadas aos seus informações, dados e recursos disponíveis.
objetivos e capacidades e aos riscos Dependendo das circunstâncias, a análise
enfrentados. Informações pertinentes e pode ser qualitativa, semiquantitativa ou
atualizadas são importantes na identificação quantitativa, ou uma combinação destas.
de riscos. É recomendável que sejam incluídas [ABNT ISO 31000:2009, definição 5.4.3]
informações adequadas sobre os fatos por trás
dos acontecimentos, sempre que possível e 5.5.2.3.3. Avaliação de riscos
que pessoas com um conhecimento adequado
A finalidade da avaliação de riscos é auxiliar
sejam envolvidas na identificação dos riscos.
na tomada de decisões com base nos
resultados da análise de riscos, sobre quais
riscos necessitam de tratamento e a
5.5.2.3.2. Análise de riscos
prioridade para a implementação do
A análise de riscos envolve desenvolver a tratamento. Esta etapa, envolve comparar o
compreensão dos riscos, a fim de fornecer nível de risco encontrado durante o processo
uma entrada para a avaliação de riscos e para de análise com os critérios de risco
as decisões sobre a necessidade de os riscos estabelecidos quando o contexto foi
serem tratados, e sobre as estratégias e considerado. Com base nesta comparação, a
métodos mais adequados de tratamento de necessidade do tratamento pode ser
riscos. Adicionalmente, esta análise também considerada. [ABNT ISO 31000:2009,
pode fornecer uma entrada para a tomada de definição 5.4.4]
decisões em que escolhas precisam ser feitas
e as opções envolvem diferentes tipos e níveis Em algumas circunstâncias, a avaliação de
de risco. [ABNT ISO 31000:2009, definição riscos pode levar à decisão de se proceder a
5.4.3] uma análise mais aprofundada, assim como
também pode levar à decisão de não se tratar
A condução da análise de riscos envolve a o risco de nenhuma outra forma que seja
apreciação das causas e as fontes de risco, manter os controles existentes. Esta decisão
suas consequências positivas e negativas, e a será influenciada pela atitude perante o risco
probabilidade de que essas consequências da organização e pelos critérios de risco que
possam ocorrer. Vale ressaltar que um evento foram estabelecidos. [ABNT ISO 31000:2009,
pode ter várias consequências e pode afetar definição 5.4.4]
vários objetivos. Convém que os controles
existentes e sua eficácia e eficiência também
sejam levados em consideração. [ABNT ISO
31000:2009, definição 5.4.3]
A confiança na determinação do nível de risco

e sua sensibilidade a condições prévias e
premissas devem ser consideradas na análise
e comunicadas eficazmente para os tomadores
de decisão e, quando apropriado, a outras
partes interessadas. É recomendável que
sejam estabelecidos e ressaltados fatores
como a divergência de opinião entre
MGR-001 1 48/55
5.5.2.4 Tratamento de riscos • Alteração das consequências;

Figura 289 ISO 31000:2009 – Tratamento de riscos • Compartilhamento do risco com outra
parte ou partes (incluindo contratos e
financiamento do risco); e
• Retenção do risco por uma decisão
consciente e bem embasada.
5.5.2.5 Monitoramento e análise crítica

Figura 2910 ISO 31000:2009 – Monitoramento e análise
crítica
Fonte: ISO 31000:2009. Elaborado por Deloitte©.
O tratamento de riscos envolve a seleção de

uma ou mais opções para modificar os riscos e
a implementação dessas opções. Uma vez
implementado, o tratamento fornece novos
controles ou modifica os existentes. Tratar
riscos envolve um processo cíclico composto
por:
• Avaliação do tratamento de riscos já
realizado; Fonte: ISO 31000:2009. Elaborado por Deloitte©.
• Decisão se os níveis de risco residual O monitoramento e a análise crítica devem ser

são toleráveis; planejados como parte do processo de gestão
• Se não forem toleráveis, a definição e de riscos e envolva a checagem ou vigilância
implementação de um novo regulares. Podem ser periódicos ou acontecer
tratamento para os riscos; e em resposta a um fato específico.
Adicionalmente, as responsabilidades relativas
• Avaliação da eficácia desse ao monitoramento e à análise crítica devem
tratamento. estar claramente definidas. [ABNT ISO
[ABNT ISO 31000:2009, definição 5.5.1] 31000:2009, definição 5.6]
As opções de tratamento de riscos não são Os processos de monitoramento e análise

necessariamente mutuamente exclusivas ou crítica da organização abrange todos os
adequadas em todas as circunstâncias. As aspectos do processo da gestão de riscos com
opções podem incluir os seguintes aspectos: a finalidade de:
• Garantir que os controles sejam
• Ação de evitar o risco ao se decidir eficazes e eficientes no projeto e na
não iniciar ou descontinuar a operação;
atividade que dá origem ao risco; • Obter informações adicionais para
• Tomada ou aumento do risco na melhorar o processo de avaliação dos
tentativa de tirar proveito de uma riscos;
oportunidade; • Analisar os eventos (incluindo os
• Remoção da fonte de risco; “quase incidentes”), mudanças,
tendências, sucessos e fracassos e
• Alteração da probabilidade; aprender com eles;
MGR-001 1 49/55
• Detectar mudanças no contexto incorporados na gestão, na mensuração e na

externo e interno, incluindo alterações apresentação de informações (tanto externa
nos critérios de risco e no próprio quanto internamente) a respeito do
risco, as quais podem requerer desempenho global da organização. É
revisão dos tratamentos dos riscos e recomendável que os resultados do
suas prioridades; e monitoramento e da análise crítica sejam
registrados e reportados externa e
• Identificar os riscos emergentes.
internamente conforme apropriado, e também
[ABNT ISO 31000:2009, definição convém que sejam utilizados como entrada
5.6] para a análise crítica da estrutura de gestão
de riscos. [ABNT ISO 31000:2009, definição
O progresso na implementação dos planos de 5.6]
tratamento de riscos proporciona uma medida
de desempenho. Os resultados podem ser

MGR-001 1 50/55
ANEXOS

MGR-001 1 51/55
ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES

A matriz a seguir especifica os papéis e responsabilidades no processo de Gestão de Riscos através
da distribuição das seguintes funções:
As responsabilidades foram divididas entre os seguintes agentes:
• Área de Governança, Conformidade e Riscos

• Gestores das áreas de negócio
• Comitê de Auditoria Estatutário
• Diretoria Executiva
• Conselho de Administração
Responsável
Comitê
Grupo de Área de
Atividade Gestores de Observação
Governança, Diretoria Conselho de
Atividades de Auditoria
Conformidad Executiva Administração
Negócio Estatutár
e e Riscos
io
Os ciclos de análise
geral de riscos
Análise Geral de
R C A C C devem ocorrer, a
Riscos
cada 2 anos (pelo
menos).
Aprovar o grau de
apetite a riscos da
Apetite ao risco R I R C A Companhia e
possíveis alterações.
PLANEJAMENTO
A priorização é
derivada da análise
geral de riscos. Além
Avaliação e dos riscos, devem
priorização dos ser priorizados
riscos
R C A A A também os processos
a serem mapeados,
com seu respectivo
orçamento.
Os riscos
Definição dos
selecionados como
indicadores para
prioritários terão
monitoramento R R A I I indicadores a serem
dos riscos
monitorados
prioritários
periodicamente.

MGR-001 1 52/55
Responsável
Comitê
Grupo de Área de
Negócio Estatutár
e e Riscos
io
Mapeamento dos Eventualmente, o

riscos e presidente pode ser
execução de consultado durante a
trabalhos
R C A I I atividade de
específicos nos monitoramento dos
MAPEAMENTO E PLANO DE RESPOSTAS
processos riscos nos processos.
Os planos de
Definição dos resposta devem
planos de contemplar as ações
resposta aos para redução do grau
riscos com grau
R R A I de exposição, a
de exposição exemplo da
baixa, média implantação de
controles internos.
Os planos de
Definição dos resposta poderão ser
planos de resultantes de:
resposta aos - Planos de ação
riscos com grau
R R A I I endereçados nos
de exposição trabalhos;
alta, extrema. - Planos de resposta
aos riscos.
Implantação dos
planos de
resposta aos I R I I
riscos
Os reportes serão
REPORTES PERIÓDICOS
Reporte dos
realizados, de acordo
trabalhos e
com o plano anual de
status dos riscos
com grau de
R I I I mapeamento dos
processos ou a partir
exposição baixa
de trabalhos
e média
especiais.
Reporte dos
trabalhos e
status dos riscos Periodicidade
com grau de
R I I I I trimestral
exposição alta ou
extrema
MONITORAMENTO
Reportes pontuais
CONTÍNUO DOS
dos status dos planos

Monitoramento e de resposta podem
RISCOS
reporte dos ser levados,

status dos planos
R C I I I periodicamente, pelo
de resposta aos Comitê de Auditoria
riscos Estatutário ao
Conselho de
Administração.

MGR-001 1 53/55
Responsável
Comitê
Grupo de Área de
Negócio Estatutár
e e Riscos
io
O monitoramento dos
riscos de baixo e
Monitoramento e
médio impacto deve
MONITORAMENTO CONTÍNUO DOS RISCOS
reporte dos
ocorrer de forma
indicadores e dos
R R I I pontual, através do
eventos de riscos
acompanhamento de
de baixo e médio
eventos de perda ou
impacto
contingências
associadas ao risco.
O monitoramento dos
riscos de alto e
extremo impacto
deve ocorrer através
do:
- Acompanhamento
Monitoramento de eventos de perda
dos indicadores e ou contingências
dos eventos de
R R I I I
associadas ao risco;
riscos de impacto
alto e extremo - Indicadores de risco
(KRI) para os riscos
prioritários;
- Acompanhamento
dos planos de
resposta aos riscos.
As discordâncias
podem ser geradas
nas atividades de
mapeamento de
Deliberação processos/riscos ou
DISCORDÂNCIAS DE OPINIÃO
sobre no monitoramento de
discordâncias na A indicadores.
avaliação e/ou O Comitê de
sobre o plano de Auditoria Estatutário
resposta para tem a autonomia
riscos de impacto para deliberar sobre
baixo ou médio as discordâncias
entre a gestão de
riscos e controles
internos e áreas de
negócio.
O Conselho só será
Deliberação
acionado para
sobre
eventuais pontos de
discordâncias na
discordância entre o
avaliação e/ou
Comitê Riscos e
sobre o plano de A I I Presidência, sobre a
resposta para
avaliação e/ou sobre
riscos de impacto
o plano de resposta
alto ou extremo
para riscos críticos.

MGR-001 1 54/55
Responsável
Comitê
Grupo de Área de
Negócio Estatutár
e e Riscos
io
Aprovação de
alterações na
política de
R A
gestão de riscos
ANEXO II – DICIONÁRIO DE RISCOS

MGR-001 1 55/55
*******


Manual de Riscos Coperg S

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual de Riscos Coperg S

Transféré par

Droits d'auteur :

Formats disponibles

Identificação Versão Folha

Título: Manual de Gestão de Riscos

MANUAL DE GESTÃO DE RISCOS

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

 Os riscos de negócio inerentes às atividades da COPERGÁS sejam identificados, analisados,

 A estrutura de controles internos seja continuamente revisada, considerando os riscos

 Os potenciais conflitos de interesse sejam identificados e os riscos associados sejam

 Todos os empregados compreendam claramente os objetivos do processo de gestão de

 O fluxo de reporte e limites de tolerância estejam previamente aprovados pela Alta

 Os planos de resposta aos riscos sejam tempestivamente monitorados pelas instâncias

 Os objetivos estratégicos da Companhia sejam plenamente atendidos;

 A COPERGÁS atenda aos critérios da Lei nº 13.303/16

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

- Código de Conduta e Integridade da COPERGÁS;

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

4.1. Tabela de figuras

FIGURA 1 LINHAS DE DEFESA DO RISCO .......................................................................................... 15

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

4.2. Símbolos e abreviações

ABNT – Associação Brasileira de Normas Técnicas.

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

Conforme definido no COSO® ERM, risco é a possibilidade de ocorrência de um evento, oriunda de

4.3.2. RISCO DE NEGÓCIO

É a exposição a impactos negativos resultantes de decisões ou eventos não esperados de natureza

4.3.3. GESTÃO DE RISCO CORPORATIVO

É um conceito de avaliação e gerenciamento de incertezas (“riscos”) enfrentadas pela Companhia

4.3.4. APETITE, TOLERÂNCIA E EXPOSIÇÃO AO RISCO

O apetite ao risco reflete a filosofia de gerenciamento de riscos da Companhia.

A tolerância ao risco é o nível aceitável de variação do apetite, considerando o atendimento de

A exposição ao risco é determinada considerando a avaliação do risco, pela combinação do

4.3.5. CONTROLES INTERNOS

Título: Manual de Gestão de Riscos

4.3.6. GOVERNANÇA CORPORATIVA

Conforme definido pelo Instituto Brasileiro de Governança Corporativa (IBGC), governança

4.3.7. COSO® ERM

4.3.8. IMPACTO E VULNERABILIDADE

Vulnerabilidade: considera a atual estrutura de controles da Companhia: técnicas atuais para

4.3.9. FONTE DE RISCO

Situações e/ou circunstâncias que podem levar à ocorrência, ou ao aumento da probabilidade de

4.3.10. KRI – KEY RISK INDICATOR

4.3.11. PREMISSA PARA AVALIAÇÃO DE RISCOS

Quanto maior impacto e vulnerabilidade, maior é o nível de exposição ao risco.

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

Documentos impressos não garantem a validade do mesmo.

Título: Manual de Gestão de Riscos

4.4. Plano de treinamento

• A cultura de Gestão de Riscos seja disseminada por toda a Companhia, atingindo as

• Todos os funcionários compreendam claramente os objetivos do processo de Gestão de

• Todos os funcionários tenham conhecimento dos meios de comunicação disponíveis para o

O programa de treinamento deverá abranger todos os funcionários da COPERGÁS, observando seu

4.4.1. TREINAMENTO DO STAFF DA ÁREA DE GESTÃO DE RISCOS

Os funcionários designados a atuarem na Área de Governança, Conformidade e Riscos devem

• Política de Gestão de Riscos da COPERGÁS;