Académique Documents
Professionnel Documents
Culture Documents
MANUAL DE PROCEDIMENTOS
MGR-001 1 1/55
Manual de Procedimentos
Manual de Procedimentos
Conteúdo
1. OBJETIVO ....................................................................................................................................... 3
2. CAMPO DE APLICAÇÃO ................................................................................................................. 4
3. REFERÊNCIAS ................................................................................................................................ 5
4. CONTEÚDO GERAL ........................................................................................................................ 6
4.1. Tabela de figuras ....................................................................................................................... 6
4.2. Símbolos e abreviações ............................................................................................................ 7
4.3. Conceitos ..................................................................................................................................... 8
4.3.1. Risco...................................................................................................................................... 8
4.3.2. Risco de negócio ................................................................................................................. 8
4.3.3. Gestão de risco corporativo .............................................................................................. 8
4.3.4. Apetite, tolerância e exposição ao risco ......................................................................... 8
4.3.5. Controles internos .............................................................................................................. 8
4.3.6. Governança corporativa .................................................................................................... 9
4.3.7. COSO® ERM ......................................................................................................................... 9
4.3.8. Impacto e vulnerabilidade ................................................................................................. 9
4.3.9. Fonte de risco ...................................................................................................................... 9
4.3.10. KRI – Key Risk Indicator ................................................................................................... 9
4.3.11. Premissa para avaliação de riscos ................................................................................... 9
4.4. Plano de treinamento .............................................................................................................. 11
4.4.1. Treinamento do staff da área de gestão de riscos ...................................................... 11
4.4.2. Plano de conscientização da Organização e treinamento de novos funcionários .. 12
4.5. Plano de comunicação............................................................................................................. 13
5. CONTEÚDO ESPECÍFICO ............................................................................................................ 14
5.1. Missão e visão da gestão de riscos ....................................................................................... 14
5.1.1. Missão da gestão de riscos da COPERGÁS ................................................................... 14
5.1.2. Visão da gestão de riscos da COPERGÁS ..................................................................... 14
5.2. Estrutura organizacional ......................................................................................................... 15
5.3. Competências e responsabilidades ....................................................................................... 16
5.4. Processo de gestão integrada de riscos ............................................................................... 19
5.4.1. Etapa de identificação e avaliação de riscos ................................................................ 20
5.4.2. Etapa de resposta e mensuração de riscos (tratamento de riscos)......................... 29
5.4.3. Etapa de monitoramento contínuo e reporte dos riscos ............................................ 35
5.5. Metodologias ............................................................................................................................. 37
5.5.1. COSO® ERM ....................................................................................................................... 37
5.5.2. ABNT ISO 31000:2009 .................................................................................................... 45
ANEXOS ............................................................................................................................................... 50
ANEXO I – MATRIZ DE PAPÉIS E RESPONSABILIDADES ......................................................... 51
ANEXO II – DICIONÁRIO DE RISCOS ......................................................................................... 54
Manual de Procedimentos
1. OBJETIVO
Definir orientações gerais para o processo de gestão integrada de riscos, de forma a assegurar que:
Manual de Procedimentos
2. CAMPO DE APLICAÇÃO
Este manual aplica-se a todos os níveis organizacionais da Companhia, os quais são integrantes do
processo de gerenciamento de riscos, direta ou indiretamente.
Manual de Procedimentos
3. REFERÊNCIAS
Manual de Procedimentos
4. CONTEÚDO GERAL
Manual de Procedimentos
Manual de Procedimentos
4.3. Conceitos
4.3.1. RISCO
É o efeito da incerteza nos objetivos. [ABNT ISO GUIA 73:2009, definição 1.1]
Apetite ao risco é a exposição a risco que a Companhia está disposta a aceitar para atingir suas
metas e objetivos, preservar e criar valor, estando diretamente relacionada à sua estratégia.
[COSO® ERM]
Quantidade e tipos de riscos que uma organização está preparada para buscar ou reter. [ABNT ISO
GUIA 73:2009, definição 3.7.1.2]
Disposição da organização ou parte interessada em suportar o risco após o seu tratamento, a fim de
atingir os seus objetivos. [ABNT ISO GUIA 73:2009, definição 3.7.1.3]
Ao contrário do apetite ao risco, que é ampla, a tolerância ao risco é tática e específica. Isto é, ela
deve ser expressa em unidades mensuráveis, aplicável em todos os níveis da organização.
Medida em que uma organização ou parte interessada está sujeita à um evento. [ABNT ISO GUIA
73:2009, definição 3.6.1.2]
Controle interno é definido como um processo, executado pela Alta Administração, gerência ou
outros colaboradores da Companhia, considerando políticas, procedimentos, atividades e
Documentos impressos não garantem a validade do mesmo.
Sempre consultar documentos normativos publicados no Sistema de Gestão Integrado – SGI.
Identificação Versão Folha
MANUAL DE PROCEDIMENTOS
MGR-001 1 9/55
Manual de Procedimentos
mecanismos designados para proporcionar uma razoável segurança para realização dos objetivos de
negócio. Um processo conduzido pela estrutura de governança, pela administração e por outros
profissionais da entidade, e desenvolvido para proporcionar garantia (segurança) razoável com
respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. [COSO®
ERM 2016]
Modelo internacional de controles internos composto por oito camadas (Ambiente Interno, Definição
de Objetivos, Identificação dos Riscos, Avaliação do Risco, Tratamento do Risco, Ambiente de
Controle, Informação e Comunicação e Monitoramento). É uma iniciativa conjunta de cinco
organizações do setor privado que se propõe a liderar a geração de conhecimento por meio de
desenvolvimento de estruturas e diretrizes sobre controles internos, gerenciamento de riscos
corporativos e prevenção de fraudes. [COSO® ERM 2016]
Impacto: é a extensão a que a Companhia pode estar exposta em relação aos objetivos de
negócios, antes e/ou depois da avaliação do respectivo risco, podendo ser de ordem tangível ou
intangível.
KRI é uma medida utilizada para avaliar como o risco se comporta e para fornecer alertas de forma
rápida e antecipada quanto à exposição, seu potencial de ganho ou perda futura, ou seja, a
possibilidade de impacto positivo ou negativo do risco nos processos de negócio da Companhia.
Manual de Procedimentos
Manual de Procedimentos
A seguir descrevemos o plano de treinamento a ser adotado pela COPERGÁS, a fim de assegurar
que:
• Segurança da informação; e
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo
com o plano de comunicação.
Manual de Procedimentos
Esta etapa consiste na realização de palestras para grupos de empregados, a serem ministradas
por membros da Área de Governança, Conformidade e Riscos.
• Divulgação dos meios de comunicação que serão utilizados pela Gestão de Riscos, de acordo
com o plano de comunicação; e
Manual de Procedimentos
Alguns exemplos de comunicação podem ser adotados pela COPERGÁS. Abaixo estão descritas
algumas opções:
• Jornal interno/ TVs Internas – divulgação bimestral de notícias sobre o processo Gestão de
Riscos, sobre as atividades desempenhadas, as áreas envolvidas e os principais resultados.
Divulgação permanente de informações relevantes e atualizadas sobre a Área de
Governança, Conformidade e Riscos, tais como usuários-chave, objetivo, missão, função,
áreas de atuação, principais contatos e esclarecimento de dúvidas frequentes (FAQs);
Manual de Procedimentos
5. CONTEÚDO ESPECÍFICO
Manual de Procedimentos
Fonte: Adaptação da Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e
Controles. IIA (2013)
Manual de Procedimentos
A Gestão de Riscos na COPERGÁS é realizada através de uma estrutura coordenada pelo Comitê de
Auditoria Estatutário, com o envolvimento ativo de dois atores principais: Área de Governança,
Conformidade e Riscos e gestores das áreas de negócio, conforme descrição a seguir:
Manual de Procedimentos
É permitido à Área de Governança, Conformidade e Riscos o acesso a todas as áreas de negócio que
compõem a COPERGÁS e a seus respectivos dados e informações. Entretanto, não está investida de
autoridade executiva sobre nenhuma das áreas.
Gestores das áreas de negócio (responsáveis primários ou donos dos riscos – risk owners):
responsáveis primários pela Gestão de Riscos, os gestores das diversas áreas de negócio da
COPERGÁS atuam ativamente neste processo, através das seguintes ações:
Manual de Procedimentos
Manual de Procedimentos
Abaixo segue breve descrição dos nove princípios fundamentais da gestão integrada de riscos:
• Definição e entendimento dos riscos: linguagem comum de riscos, que direciona tanto a
criação como a preservação de valor à empresa, e que seja consistente em todas as
Unidades de Negócio.
• Utilização de padrões e metodologias: metodologia de gestão de riscos suportada por
um padrão reconhecido (ex.: COSO® ERM, ISO 31000) para identificação, resposta e
gerenciamento dos riscos.
• Papéis e responsabilidade: papéis, responsabilidades e limites de alçada claramente
definidos e alinhados à estrutura de profissionais da empresa.
• Envolvimento da Alta Administração: órgãos de gestão (ex.: Conselho de
Administração, Comitê de Auditoria e Riscos) atuando com transparência e diligência nas
práticas de gestão de riscos.
• Responsabilidades da Alta Administração: grupo executivo responsável pelo desenho,
implantação e manutenção de um programa estruturado de gestão de riscos.
• Infraestrutura para gestão de riscos: infraestrutura única de riscos para orientar e
suportar todas as unidades e áreas de negócio em suas responsabilidades relacionadas a
riscos.
• Avaliação periódica do processo: unidades de negócio diretamente responsáveis pelo
desempenho de suas estruturas, gerenciamento dos riscos associados a elas e
comunicação/reporte à Administração.
• Responsabilidades das áreas de negócio: outras áreas asseguram, monitoram e
reportam a efetividade do processo de gestão de riscos da empresa aos órgãos de gestão.
• Suporte de funções pervasivas: determinadas áreas possuem um impacto pervasivo na
empresa (ex.: TI) e, além de prover suporte às unidades de negócio em relação ao
programa de gestão de riscos, potencializam o sucesso do gerenciamento quando
estrategicamente alinhados aos elementos do programa de riscos.
Manual de Procedimentos
A AGR deverá ser atualizada periodicamente (a cada 2 anos, no máximo), a fim de identificar
possíveis alterações no ambiente de negócios que possam afetar o atendimento aos objetivos de
negócio. Quaisquer mudanças identificadas devem ser registradas no documento de análise de
riscos corporativos da Companhia, conforme metodologia detalhada no tópico seguinte.
Manual de Procedimentos
Cada tema está segregado em grupos e em cada grupo estão as categorias de riscos pertinentes à
COPERGÁS.
Figura 5 Legenda do dicionário de riscos
Cabe a Área de Governança, Conformidade e Riscos atualizar o dicionário de riscos sempre que seja
identificado um novo risco que não possui vínculo à uma categoria existente.
Manual de Procedimentos
Manual de Procedimentos
Para execução dessa fase, a Área de Governança, Conformidade e Riscos deve utilizar roteiro
entrevista como ferramenta específica para coleta de informações, considerando as categorias de
risco pertinentes à área do executivo avaliado, além de perguntas aplicáveis à toda a Companhia, a
fim de identificar novas origens, atualizar o status das já existentes, bem como identificar ações que
estão sendo tomadas para mitigação do risco.
Paralelamente, pode ser aplicada a coleta de dados e informações através de questionários com o
propósito de levantamento de atenuantes e agravantes dos riscos junto aos executivos indicados
pela Alta Administração.
Em ambas abordagens (entrevista e questionário), nesta etapa, será capturada a percepção de cada
executivo acerca dos controles (vulnerabilidade – atenuantes e agravantes) e relevância (impacto)
sobre cada risco de negócio.
O grau de exposição deverá ser graduado em quatro níveis, definidos com base no impacto e na
vulnerabilidade, utilizando-se da escala a seguir:
Manual de Procedimentos
Na dimensão de impacto alguns critérios para avaliação qualitativa e quantitativa são postos
como premissas, a saber:
Manual de Procedimentos
O apetite ao risco da Alta Administração foi estabelecido com base em percentuais atrelados à
Receita Operacional Líquida (ROL), conforme coluna “Critérios para avaliação quantitativa” da Figura
8 Critérios para avaliação do impacto. Contudo, o critério e os percentuais podem ser redefinidos
pela Alta Administração e Comitê de Auditoria Estatutário, conforme processo estruturado de
aprovação formal anualmente.
O processo de avaliação de riscos consiste no desenvolvimento das seguintes etapas, que serão
detalhadas em seguida:
Figura 10 Processo de avaliação de riscos
A classificação do impacto (Extremo, Alto, Médio ou Baixo) deve partir da definição do tipo de
análise, ou seja, se o impacto será mensurado de forma quantitativa (aplicável quando da
disponibilidade de dados históricos de materialização do risco ou do valor em risco) ou qualitativa
(aplicável quando da indisponibilidade de histórico de materialização ou precisão do valor em risco).
Nesta última perspectiva, é recomendável usar o “pior cenário” (worst case) e o julgamento
profissional para determinar a avaliação sumária do impacto.
Manual de Procedimentos
Manual de Procedimentos
Neste sentido, é atribuída a classificação da vulnerabilidade (Extrema, Alta, Média ou Baixa), com
base no grau de confiança combinada para todos os controles associados ao risco, utilizando as
definições da Figura 12.
Manual de Procedimentos
Caso o processo seja avaliado de forma qualitativa e quantitativa, serão ponderados os pesos
conforme figura 14, relativo aos respectivos critérios, que totalizam 100% e incorpora o critério do
Valor (R$) financeiro envolvido.
Manual de Procedimentos
Os indicadores de risco são definidos para cada risco, no âmbito das áreas envolvidas e,
periodicamente, acompanhados pelos agentes supracitados.
Os agentes de Gestão de Riscos, com o suporte dos Diretores envolvidos, são responsáveis por
definir ações para mitigação dos riscos.
Com base nos resultados da avaliação dos riscos prioritários, o Comitê de Auditoria Estatutário deve
aprovar o tratamento a ser dado ao risco, os quais podem ser: evitar, transferir, reduzir ou aceitar.
Caso a opção seja aceitar o risco, devem ser estabelecidas métricas de monitoramento deste. Caso
o tratamento escolhido para o risco seja reduzir, são definidos planos de ação para mitigar o nível
de exposição.
As atividades que compõem a etapa de resposta ao risco são subdivididas nas seguintes seções:
Definir estratégias para gerenciamento de riscos;
Elaborar os planos de ação;
Priorizar as deficiências encontradas.
Obter a aprovação do Comitê de Auditoria Estatutário a respeito das estratégias para gerenciamento
do risco, acordadas com os gestores dos processos.
Manual de Procedimentos
De acordo com o resultado da avaliação e teste, deve-se dar prioridade ao plano de ação conforme
abaixo:
Baixa: deficiência de controle, podendo o controle não ser efetivo ou não existir;
Média: deficiência significativa, podendo o controle não ser efetivo ou não existir;
Alta: fraqueza material caracterizado por um controle chave não efetivo ou não existente;
Planos de Ação.
Manual de Procedimentos
Produtos Gerados:
Caso exista um grande número de riscos identificados, é recomendável priorizar aqueles para os
quais serão desenvolvidos indicadores a partir da avaliação do seu impacto e vulnerabilidade de
ocorrência.
De maneira geral, a prática demonstra que começar pelos 10 riscos mais relevantes
(extremo/alto impacto e extrema/alta vulnerabilidade) possibilita desenvolver um conjunto de
indicadores que sejam ao mesmo tempo abrangentes o suficiente para permitir o acompanhamento
dos principais fatores impactantes e específicos o suficiente para possibilitar o seu efetivo
gerenciamento.
Como ponto de partida natural para esse processo, deve-se realizar análise das informações já
existentes sobre os riscos identificados em trabalhos conduzidos pelas áreas de Auditoria interna,
Gestão de Riscos e pelos órgãos reguladores, entre outros.
Não existe um número máximo ou mínimo pré-definido de KRIs e cada risco pode ter um ou mais
indicadores. O KRI deve ser relevante e sensível ao risco que ele está monitorando, ou seja, capaz
de capturar possíveis problemas que estejam ocorrendo, caso seu valor atinja um determinado
limite. Ele deve ser uma medida objetiva, eficiente e preferencialmente quantitativa.
Os níveis de tolerância podem ser:
• Máximo: requer ações que mitiguem o nível de risco;
• Preocupante: indica uma tendência do nível de risco em atingir um nível de tolerância
máxima, alertando o gestor a tomar ações de mitigação do risco;
• Aceitável: indica níveis aceitáveis de risco sem requerimento de ações específicas de
mitigação de risco.
Manual de Procedimentos
sinalize que o risco se materializou, esteja em vias da ocorrência do evento de risco ou tenha
ultrapassado o limite de tolerância a risco.
Produtos Gerados:
KRIs definidos;
Lista dos riscos que serão monitorados por KRIs.
Nesta etapa, os seguintes itens devem ser considerados para fins de documentação dos KRIs:
• Indicador: referência do indicador;
• Objetivo: descrição do objetivo do indicador;
• Responsável: responsável primário do risco;
• Processos associados: relação de processos associados ao risco;
• Fórmula: fórmula sugerida para o cálculo do indicador;
• Componentes: descrição dos elementos necessários para o cálculo do indicador conforme
apresentado na fórmula;
• Fonte: sistemas ou documentações bases dos componentes;
• Acompanhamento: periodicidade de cálculo do indicador;
• Status: indicação quanto ao status de implementação do indicador, conforme segue: KRI
não implementado ou KRI implementado;
• Limite de tolerância: valores a partir dos quais são justificadas análises sobre as razões
das variações apresentadas;
• Entendimento da variação: descrição das possíveis razões que originaram as variações
no indicador;
• Unidade de medida: representa como o indicador será medido, por exemplo, em valor
percentual (%);
• Resultado: descrição do resultado.
Eventualmente, o mapeamento da localização dos dados nos sistemas de origem exige o envolvendo
do analista de TI, que possui conhecimento técnico mais avançado acerca dos sistemas da
Companhia. O mapeamento da localização dos dados é fundamental para a posterior implementação
do indicador no Sistema de Gestão de Riscos.
Manual de Procedimentos
Os dados necessários para cálculo do indicador podem ser obtidos dos sistemas da Companhia de
forma automática ou através de procedimentos alternativos de coleta, a serem definidos e
implementados para cada risco analisado.
É imprescindível a definir a periodicidade e forma de obtenção de dados, sendo preferencial que seja
de forma automatizada (exemplo: geração de query, batches, via arquivos, etc.). Caso os dados
não estejam disponíveis de forma automática, é importante avaliar a melhor forma para registro
manual dos dados (ex. planilhas, arquivos “.txt”, etc.).
Neste sentido, faz-se necessário obter os dados para teste do KRI e avaliar se os resultados obtidos
são factíveis, observando:
• Integridade e confiabilidade dos dados, verificando nível de oscilação do resultado no
período analisado e a sensibilidade do indicador ao risco;
• Tempo de processamento do cálculo do indicador, verificando se está adequado ou
está muito acima do esperado;
• Viabilidade de cálculo do indicador, conforme a periodicidade definida.
Após os testes, são procedidos os ajustes necessários no KRI e a análise é repetida até que o
indicador esteja pronto para ser colocado em produção.
As atividades que compõe a etapa de mensuração são subdivididas nas seguintes categorias:
Capturar dados automaticamente;
Registrar dados manualmente.
Manual de Procedimentos
Inicialmente, é realizada a verificação e certificação de que todos os dados necessários para efetivar
a carga para cálculo dos KRIs estão disponíveis e, em seguida, executado o procedimento para
captura automática de cada indicador, de acordo com a respectiva periodicidade de coleta.
Após o cálculo automático, é verificado se não ocorreu problemas na captura automática dos dados,
por exemplo, por meio de relatórios de críticas.
Produtos Gerados:
A Área de Governança, Conformidade e Riscos deve definir, junto ao agente de Gestão de Riscos
responsável pelo indicador, a periodicidade com que esse deve ser revisado (pelo menos
anualmente), para que as alterações que se fizerem necessárias nos processos, nos produtos, nos
controles, nos sistemas e nos próprios riscos sejam refletidas.
Periodicamente, os resultados dos indicadores são reportados para a Diretoria, conforme frequência
estabelecida para cada risco e ao Comitê de Auditoria Estatutário e Conselho de Administração, de
acordo com os respectivos calendários de reuniões. O reporte deve ser realizado através de
relatórios que serão utilizados para acompanhamento contendo informações apresentadas de forma
gráfica, com tendência do indicador (de alta, estável, baixa), a evolução histórica do indicador e,
opcionalmente, utilização de mais de uma opção de visualização.
Caso o nível de tolerância definido para o risco seja excedido, devem ser definidos planos de ação
para tratamento do risco, considerando o resultado do indicador reportado pelo agente de Gestão de
Riscos e Área de Governança, Conformidade e Riscos.
Os responsáveis pela elaboração do plano de ação são os agentes de Gestão de Riscos, com o
suporte dos Diretores envolvidos nos processos associados ao risco e da Área de Governança,
Conformidade e Riscos.
Produtos Gerados:
Manual de Procedimentos
Podem ser utilizadas informações já existentes na Companhia como, por exemplo, a materialidade
ou impacto nos resultados. Com base na definição do apetite ao risco, devem ser aplicados os níveis
de tolerância a cada risco encontrado.
As atividades que compõem essa etapa são subdivididas nas seguintes seções:
Acompanhar e atualizar o status de implementação dos planos de ação;
Emitir relatório de Gestão de Riscos.
O status das ações (percentual de implementação) deve ser atualizado no Sistema de Gestão de
Riscos. Deve ser procedida a análise do percentual de implementação dos planos de ação em
relação aos prazos acordados para conclusão. Caso não seja possível implementá-los dentro dos
prazos acordados, deve-se verificar as justificativas pelo não cumprimento e definir, em conjunto
com o responsável uma nova data para conclusão da implantação.
O novo prazo deve ser validado para implementação do plano de ação com o gestor do
processo/área e, em seguida, deve ser registrado no Sistema Gestão de Riscos, adicionando as
justificativas, agrupadas por categorias (em campo comentário), por exemplo:
• Falta de recursos;
• Prazo subestimado;
• Alteração nos sistemas;
• Mudança de estratégia.
Produtos Gerados:
Manual de Procedimentos
Produtos Gerados:
Para tal, é deve ser definida uma escala de reporte conforme período em que determinadas
atividades estão em atraso. Por exemplo:
• 30 dias após o vencimento do prazo: reiteração ao destinatário original;
• 45 dias após o vencimento do prazo: reiteração ao destinatário original, com cópia para
o superior;
• 60 dias após o vencimento do prazo: reiteração ao superior, com cópia aos destinatários
anteriormente cobrados;
• 75 dias após o vencimento do prazo: cobrança direta à Diretoria Executiva da área
envolvida;
• 90 dias após o vencimento do prazo: comunicação ao Comitê de Auditoria Estatutário da
COPERGÁS.
Produtos Gerados:
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
no estágio inicial
do processo. A
5.5.2. ABNT ISO 31000:2009 comunicação e consulta, interna e externa,
A Norma Brasileira ISO 31000:2009, trata dos deve assegurar que os responsáveis pela
princípios e diretrizes da Gestão de Riscos. De implementação do processo de gestão de
acordo com a referida norma o processo de riscos e as partes interessadas compreendam
Gestão de Riscos deve ser parte integrante da os fundamentos sobre os quais as decisões
gestão, incorporado na cultura e nas práticas são tomadas e as razões pelas quais ações
e adaptado aos processos de negócios da específicas são requeridas. [ABNT ISO
organização. 31000:2009, definição 5.2]
A figura a seguir, ilustra as principais etapas Uma abordagem de equipe consultiva pode:
do processo de gestão de riscos: • Auxiliar a estabelecer o contexto
apropriadamente;
Figura 64 ISO 31000:2009 – Processo de gestão de riscos
• Assegurar que os interesses das
partes interessadas sejam
compreendidos e considerados;
• Auxiliar a assegurar que os riscos
sejam identificados adequadamente;
• Reunir diferentes áreas de
especialização em conjunto para
análise dos riscos;
• Assegurar que diferentes pontos de
vista sejam devidamente
considerados quando da definição dos
critérios de risco e na avaliação dos
Fonte: ISO 31000:2009. Elaborado por Deloitte©. riscos;
• Garantir o aval e o apoio para um
5.5.2.1 Comunicação e consulta plano de tratamento;
Figura 257 ISO 31000:2009 – Comunicação e consulta • Aprimorar a gestão de mudanças
durante o processo de gestão de
riscos; e
• Desenvolver um plano apropriado
para comunicação e consulta interna e
externa.
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
Manual de Procedimentos
ANEXOS
Manual de Procedimentos
Responsável
Comitê
Grupo de Área de
Atividade Gestores de Observação
Governança, Diretoria Conselho de
Atividades de Auditoria
Conformidad Executiva Administração
Negócio Estatutár
e e Riscos
io
Os ciclos de análise
geral de riscos
Análise Geral de
R C A C C devem ocorrer, a
Riscos
cada 2 anos (pelo
menos).
Aprovar o grau de
apetite a riscos da
Apetite ao risco R I R C A Companhia e
possíveis alterações.
PLANEJAMENTO
A priorização é
derivada da análise
geral de riscos. Além
Avaliação e dos riscos, devem
priorização dos ser priorizados
riscos
R C A A A também os processos
a serem mapeados,
com seu respectivo
orçamento.
Os riscos
Definição dos
selecionados como
indicadores para
prioritários terão
monitoramento R R A I I indicadores a serem
dos riscos
monitorados
prioritários
periodicamente.
Manual de Procedimentos
Responsável
Comitê
Grupo de Área de
Atividade Gestores de Observação
Governança, Diretoria Conselho de
Atividades de Auditoria
Conformidad Executiva Administração
Negócio Estatutár
e e Riscos
io
Os planos de
Definição dos resposta devem
planos de contemplar as ações
resposta aos para redução do grau
riscos com grau
R R A I de exposição, a
de exposição exemplo da
baixa, média implantação de
controles internos.
Os planos de
Definição dos resposta poderão ser
planos de resultantes de:
resposta aos - Planos de ação
riscos com grau
R R A I I endereçados nos
de exposição trabalhos;
alta, extrema. - Planos de resposta
aos riscos.
Implantação dos
planos de
resposta aos I R I I
riscos
Os reportes serão
REPORTES PERIÓDICOS
Reporte dos
realizados, de acordo
trabalhos e
com o plano anual de
status dos riscos
com grau de
R I I I mapeamento dos
processos ou a partir
exposição baixa
de trabalhos
e média
especiais.
Reporte dos
trabalhos e
status dos riscos Periodicidade
com grau de
R I I I I trimestral
exposição alta ou
extrema
MONITORAMENTO
Reportes pontuais
CONTÍNUO DOS
Manual de Procedimentos
Responsável
Comitê
Grupo de Área de
Atividade Gestores de Observação
Governança, Diretoria Conselho de
Atividades de Auditoria
Conformidad Executiva Administração
Negócio Estatutár
e e Riscos
io
O monitoramento dos
riscos de baixo e
Monitoramento e
médio impacto deve
MONITORAMENTO CONTÍNUO DOS RISCOS
reporte dos
ocorrer de forma
indicadores e dos
R R I I pontual, através do
eventos de riscos
acompanhamento de
de baixo e médio
eventos de perda ou
impacto
contingências
associadas ao risco.
O monitoramento dos
riscos de alto e
extremo impacto
deve ocorrer através
do:
- Acompanhamento
Monitoramento de eventos de perda
dos indicadores e ou contingências
dos eventos de
R R I I I
associadas ao risco;
riscos de impacto
alto e extremo - Indicadores de risco
(KRI) para os riscos
prioritários;
- Acompanhamento
dos planos de
resposta aos riscos.
As discordâncias
podem ser geradas
nas atividades de
mapeamento de
Deliberação processos/riscos ou
DISCORDÂNCIAS DE OPINIÃO
sobre no monitoramento de
discordâncias na A indicadores.
avaliação e/ou O Comitê de
sobre o plano de Auditoria Estatutário
resposta para tem a autonomia
riscos de impacto para deliberar sobre
baixo ou médio as discordâncias
entre a gestão de
riscos e controles
internos e áreas de
negócio.
O Conselho só será
Deliberação
acionado para
sobre
eventuais pontos de
discordâncias na
discordância entre o
avaliação e/ou
Comitê Riscos e
sobre o plano de A I I Presidência, sobre a
resposta para
avaliação e/ou sobre
riscos de impacto
o plano de resposta
alto ou extremo
para riscos críticos.
Manual de Procedimentos
Responsável
Comitê
Grupo de Área de
Atividade Gestores de Observação
Governança, Diretoria Conselho de
Atividades de Auditoria
Conformidad Executiva Administração
Negócio Estatutár
e e Riscos
io
Aprovação de
alterações na
política de
R A
gestão de riscos
Manual de Procedimentos
*******