Política de Gestão do Risco na EP-SA

Transcrição

1 Política de Gestão do Risco na EP-SA SERVIÇOS STAKEHOLDERS SUSTENTABILIDADE SGC - DGRC Para a EP-Estradas de Portugal, S.A., a Gestão do Risco, é uma responsabilidade da Gestão de Topo e de todos os seus colaboradores. O seu objetivo é a identificação e avaliação dos principais riscos, bem como, a implementação de controlos internos e monitorização das ameaças que possam afetar ou pôr em causa a concretização dos seus objetivos estratégicos e plano de negócio e potenciar o aproveitamento de oportunidades. E P - E s t r a d a s d e P o r t u g a l, S A P r a ç a d a P o r t a g e m A l m a d a T e l. : F a x :

2 INDICE Índice 1 - CONTEXTO OBJETIVO TERMOS E DEFINIÇÕES IMPORTANTES RISCOS RELEVANTES METODOLOGIA APLICADA PROCESSO DE GESTÃO DO RISCO RESPONSABILIDADES...5 1/5

3 1 - Contexto Este documento surge na sequência da implementação do processo de Gestão dos Riscos na EP-Estradas de Portugal, S.A., alinhada com a Norma NP ISO 31000: Objetivo A gestão do risco é uma prática vocacionada para a criação e preservação de valor. A atual política da Empresa na Gestão dos seus Riscos tem por objetivo estabelecer um conjunto de práticas de identificação, análise, avaliação, tratamento, revisão, monitorização e reporte dos principais riscos. Entre os riscos que podem afetar as atividades da EP-SA foi identificado um conjunto de riscos considerados mais relevantes e que englobam todos os restantes riscos da organização. Esta Política da Gestão do Risco pretende garantir: O aumento da garantia do alcance dos objetivos estratégicos; A melhoria da informação para apoio à decisão ; A redução de surpresas; A implementação de boas práticas; A melhoria da governação corporativa ; O aumento da confiança dos Stakeholders; A melhoria do planeamento e desempenho; O aumento da resiliência da organização; A redução de perdas e aproveitamento de oportunidades ; O aumento da economia, eficácia e eficiência. A Gestão do Risco pretende: Efetuar a análise de ameaças e oportunidades; Fazer uma reflexão aprofundada sobre os assuntos; Aumentar o conhecimento para a tomada de decisões Garantir a comunicação em toda a organização Potencial o olhar para a frente; O ENVOLVIMENTO e RESPONSABILIZAÇÃO de todos. 2/5

4 3 Termos e Definições Importantes Risco - Efeito de incerteza na consecução dos objetivos. Gestão do Risco - atividades coordenadas para dirigir e controlar uma organização no que respeita ao risco. Plano da gestão do risco - Programa, incluído na estrutura da gestão do risco, que especifica a abordagem, os componentes da gestão e os recursos a aplicar à gestão do risco Key Risk Indicator (KRI) - Indicador de Risco. Apreciação do risco - processo global de identificação do risco, de análise do risco e de avaliação do risco. Identificação do risco - processo de pesquisa, de reconhecimento e de descrição dos riscos. Análise do risco - processo destinado a compreender a natureza do risco e a determinar o nível do risco. Avaliação do risco - processo de comparação dos resultados da análise do risco com os critérios do risco para determinar se o risco e/ou a respectiva magnitude é aceitável ou tolerável. Matriz do risco - Ferramenta que permite ordenar e visualizar os riscos por definição de intervalos de consequência e verosimilhança. Tratamento do risco - processo para modificar o risco. Controlo - medida que modifica o risco. Monitorização - verificação, supervisão, observação crítica ou a determinação do estado de modo a identificar continuadamente alterações do nível de desempenho requerido ou esperado. 4 Riscos Relevantes Risco de Regulação e Compliance Risco inerente à ocorrência de impactos nos objetivos estratégicos da empresa, resultantes de violações ou desconformidades relativamente às leis, regulamentos, contratos, códigos de conduta, práticas instituídas ou princípios éticos; Risco Financeiro Risco inerente à ocorrência de impactos nos objetivos estratégicos da empresa, resultantes de falta de liquidez, taxas de juro e falta de crédito. Risco Operacional Risco inerente à ocorrência de impactos nos objetivos estratégicos da empresa, resultantes da inadequação ou deficiência de processos internos, infraestruturas, capital humano, e recurso a regime de "outsourcing". 3/5

5 Risco Tecnológico Risco inerente à ocorrência de impactos nos objetivos estratégicos da empresa, resultantes de falhas de infraestruturas críticas, segurança de informação (acessos não autorizados ou inapropriados), integridade do sistema (informação incompleta, inconsistente, incorreta) e flexibilidade (sistemas complexos e inflexíveis). Risco Reputacional Risco inerente à ocorrência de impactos nos objetivos estratégicos da empresa, resultantes de uma perceção negativa da imagem pública da instituição, fundamentada ou não, por parte de acionistas, clientes, fornecedores, colaboradores, órgãos de imprensa, opinião pública em geral e outros stakeholders. Risco de Negócio - Risco inerente à ocorrência de impactos nos objetivos estratégicos da empresa, resultantes da inadequação de planeamento, conceção, execução, monitorização e controlo, nas áreas core que contribuem para o negócio da empresa. 5 Metodologia Aplicada A metodologia aplicada está de acordo com o estabelecido na Norma NP ISO 31000: Processo de Gestão do Risco O processo de gestão do risco consiste na aplicação sistemática de políticas, procedimentos e práticas de gestão às atividades de comunicação, consulta, estabelecimento do contexto e identificação, análise, avaliação, tratamento, monitorização e revisão do risco. 4/5

6 7 Responsabilidades Direções Centrais Identificam os principais riscos que afetam a sua atividade; Analisam os riscos identificados; Avaliam os riscos identificados; Propõem o tratamento dos riscos identificados e avaliados; Implementam os planos de ação necessários para garantir o correto tratamento dos riscos identificados. SGC-DGRC Define as categorias de riscos relevantes da Empresa; Apoia na identificação, análise e avaliação dos riscos; Apoia na priorização e decisão sobre o tratamento dos riscos identificados e avaliados; Monitoriza o modelo de gestão de riscos, assegurando a integração da informação proveniente das diferentes UO Define, Implementa e Revê o modelo de gestão de riscos alinhado com as melhores práticas; Apoia a Administração na decisão a tomar quanto a riscos materialmente relevantes; Acompanha os planos de ação necessários para garantir o correto tratamento dos riscos identificados. Controla internamente todo o processo de gestão de riscos e Compliance. Avalia a eficácia do processo de gestão de riscos implementado na empresa. Auditoria Interna Avalia a eficaz gestão dos principais riscos. Recomenda melhorias na gestão de riscos, sempre que se revele oportuno, no âmbito das suas intervenções 5/5