Instrumento Organizacional Tipo: Política Institucional Fase: Vigente Título: Número e Versão: GESTÃO DE RISCOS CORPORATIVOS PI0028 V.2 Área Emitente: Aprovador: Vigência da 1ª versão: Vigência desta versão: PK DANTE RAGAZZI PAULI - DRPAULI 25/06/10 12/05/16 Áreas Relacionadas (Abrangência): SABESP --- Processos: 1. INTRODUÇÃO A Política Institucional de Gestão de Riscos Corporativos tem por finalidade introduzir a prática de avaliação de riscos no ambiente corporativo e contribuir com o aprimoramento da governança corporativa, do planejamento empresarial e na preservação e geração de valor da organização. O processo de gestão de riscos corporativos utiliza como base o modelo internacional COSO ERM: Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk Management Framework 2004 e as normas ABNT NBR ISO 31000:2009 e ABNT ISO GUIA 73:2009. 2. OBJETIVO 2.1. Estabelecer diretrizes, conceitos e competências na gestão de riscos 2.2. Incorporar a visão de riscos à tomada de decisões, em conformidade com as boas práticas de mercado. 2.3. Agregar valor à organização, promover maior transparência das informações, aperfeiçoar as práticas de governança e contribuir para a sustentabilidade da companhia. 2.4. Disseminar a cultura e promover a atuação da gestão de riscos em todos os níveis hierárquicos da organização, com uso de linguagem comum. 3. DIRETRIZES 3.1. A estratégia empresarial e os processos de trabalho devem contemplar os riscos e sua gestão. 3.2. A cultura de gestão de riscos deve ocorrer em todos os níveis hierárquicos da empresa. 3.3. Os empregados envolvidos com as atividades de gestão de riscos devem ser capacitados na metodologia utilizada. 3.4. Os riscos dos processos devem ser identificados, avaliados, comunicados, tratados e monitorados como oportunidade de melhoria. 3.5. Os riscos devem ser avaliados e acompanhados pelo Conselho de Administração, Comitê de Auditoria, Diretoria Colegiada, Comitê de Gestão de Riscos Corporativos, Diretorias, Superintendências e Unidades de Negócio. 3.6. A gestão de riscos corporativos deve ocorrer em todas as áreas da empresa, com o uso de linguagem comum e padrões estabelecidos na política e procedimentos. 3.7. Toda exposição de riscos deve ser avaliada, com definição do tratamento e, se for o caso, o estabelecimento de plano de ação, com a identificação dos responsáveis e indicadores de acompanhamentos dos riscos. 3.8. O aperfeiçoamento periódico da gestão de riscos deve ocorrer por ciclos de avaliações e revisões frequentes ou em resposta a um fato específico, favorecendo a melhoria contínua e o fortalecimento das diretrizes estratégicas empresariais. 3.9. A empresa deve utilizar os resultados das avaliações de riscos para elaboração e/ou revisão de planos de contingência. 3.10. Os riscos corporativos devem ser comunicados às partes interessadas, a critério da Companhia, por canais competentes, alinhados à legislação e às boas práticas de governança corporativa. 3.11. As atribuições de responsabilidades de aprovação e tratamento dos riscos são definidas por níveis de alçada (impacto e probabilidade de ocorrência). 3.12. Os riscos devem ser classificados por natureza, categoria e por origem dos eventos (internos ou externos) definidos em procedimento empresarial.
Instrumento Organizacional Tipo: Política Institucional Fase: Vigente Título: Número e Versão: GESTÃO DE RISCOS CORPORATIVOS PI0028 V.2 Área Emitente: Aprovador: Vigência da 1ª versão: Vigência desta versão: PK DANTE RAGAZZI PAULI - DRPAULI 25/06/10 12/05/16 Áreas Relacionadas (Abrangência): SABESP --- Processos: 3.13. As competências do Conselho de Administração, Comitê de Auditoria, Diretoria Colegiada, Comitê de Gestão de Riscos Corporativos, Diretorias, Superintendência de Gestão de Riscos e Qualidade, Superintendências e Unidades de Negócio, estão definidas no anexo desta Política. 3.14. Os profissionais de gestão de riscos devem ter acesso a todas as áreas da empresa, empregados, documentos, dados e informações necessárias à execução de suas atividades. 3.15. A autoridade funcional de Gestão de Riscos Corporativos é a Superintendência de Gestão de Riscos e Qualidade, subordinada hierarquicamente à Presidência e funcionalmente ao Comitê de Auditoria. 3.16. Esta política deve também ser divulgada aos membros do Conselho de Administração, Comitê de Auditoria e Comitê de Gestão de Riscos Corporativos. 4. Complementos Anexos Referenciados (Base de Anexos) Documentos Referenciados Informações de Registros --- --- --- Arquivos Anexados (Arquivos Complementares do Instrumento Organizacional) PI0028v2 Anexo 01 Conceitos.pdf PI0028v2 Anexo02 Competencias
Nome do Anexo: Número do Anexo Conceitos 0001 Vinculado ao Instrumento: PI0028v02 Gestão de Riscos Corporativos Descrição Alçada de risco Aperfeiçoamento periódico Avaliação de risco Boas Práticas de Governança Corporativa Classificação de risco Grandeza financeira que representa a exposição de impacto do risco, no sentido mais amplo, e que permite a organização tomar decisões relacionadas às atividades de gestão de riscos. Atividades associadas que visam assegurar a eficácia da gestão de riscos por meio de ciclos de avaliações e revisões frequentes, favorecendo a melhoria contínua e o fortalecimento dos objetivos estratégicos. Processo de avaliação que permite que uma organização considere até que ponto os fatores de riscos em potencial podem impactar a realização dos objetivos. A administração avalia os eventos com base em duas perspectivas probabilidade e impacto e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos. Orientações publicamente reconhecidas, com o objetivo de alcançar e manter transparência, equidade e qualidade das informações, bem como manter reputação positiva perante o mercado e um diferencial na preservação e geração de valor. Estabelecimento de escala de valores para os riscos, em função do seu impacto e sua probabilidade. É associada a cores diferentes no mapa de riscos. Na SABESP as réguas de classificação de riscos são: a) Impacto: Alto (vermelho), Significativo (laranja), Moderado (amarelo), Baixo (verde claro) e Mínimo (verde escuro); Gestão de Riscos Corporativos Identificação de risco Impacto Mapa de risco b) Probabilidade: Quase Certo (vermelho), Provável (laranja), Possível (amarelo), Baixa (verde claro) e Improvável (verde escuro). É um processo conduzido em uma organização pelo Conselho de Administração, Comitê de Auditoria, Diretoria Colegiada, Comitê de Gestão de Riscos Corporativos, superintendências, unidades de negócio e demais empregados; aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com a exposição de risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. A gestão de riscos está diretamente relacionada ao crescimento sustentável, a rentabilidade, a preservação e geração de valor para a empresa e seus acionistas, dado que este processo permite a identificação não só de ameaças, como também de oportunidades de aprimoramento e desenvolvimento do negócio. Processos de busca, reconhecimento e descrição de riscos. A identificação de riscos envolve a descrição de fatores, consequências potenciais. Proporcionará gerar uma lista abrangente de riscos (portfólio) baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas. Resultado ou efeito de um evento de risco. Poderá haver uma série de impactos possíveis associados a um evento. O impacto de um evento pode ser positivo ou negativo em relação aos objetivos correlatos de uma empresa. Representação gráfica referente ao processo de avaliação de riscos no ambiente corporativo. É apresentado graficamente no layout de mapa 5 X 5, através de posicionamento do nível do risco em quadrante com cor correspondente. Representado no plano cartesiano, por pares ordenados (Probabilidade e Impacto): Eixo X: Probabilidade: Quase Certo (vermelho), Provável (laranja), Possível (amarelo), Baixa (verde claro) e Improvável (verde escuro); Eixo Y: Impacto: Alto (vermelho), Significativo (laranja), Moderado (amarelo), Baixo (verde claro) e Mínimo (verde escuro).
Metodologia de Gestão de Riscos Monitoramento Nível de Alçada Parte interessada É o conjunto de definições de padrões na identificação, análise, avaliação, tratamento e monitoramento dos riscos, com base na aplicação do modelo do COSO Enterprise Risk Management - Integrated Framework de forma flexível às características e peculiaridades da Sabesp e de seu ambiente de negócios. Verificação, supervisão, observação crítica ou identificação da situação, executadas de forma continua, a fim de caracterizar mudanças no nível de desempenho requerido ou esperado. O monitoramento pode ser aplicado a estrutura da gestão de riscos, ao processo de gestão, ao risco propriamente dito ou aos seus controles. É a faixa de administração da organização, responsável na tomada de decisão, relacionada às atividades de gestão de riscos, de acordo com o nível de criticidade (impacto e probabilidade) estabelecido no mapa de riscos. Abrange o Conselho de Administração, Comitê de Auditoria, Diretoria Colegiada, Comitê de Gestão de Riscos Corporativos, Diretores, Superintendentes, Assistentes Executivos, Assessores e demais empregados que podem afetar, ser afetada, ou perceber-se envolvidas em decisão de atividades de gestão de riscos.
Nome do Anexo: Número do Anexo Competências 0002 Vinculado ao Instrumento: PI0028v02 Gestão de Riscos Corporativos Descrição 1. Conselho de Administração a) avaliar e aprovar a Política Institucional de Gestão de Riscos Corporativos; b) conhecer a metodologia de Gestão de Riscos Corporativos; c) verificar a eficácia dos procedimentos de gestão e controle dos riscos corporativos; d) avaliar e aprovar os níveis de alçada de riscos que definem as responsabilidades para aprovação e tratamento dos riscos; e) avaliar e aprovar periodicamente o mapa de riscos corporativos e planos de ação mitigatórios de alçada do Conselho de Administração; f) acompanhar a evolução dos planos de ação mitigatórios dos riscos corporativos; g) assegurar os recursos, de acordo com o nível de alçada, para execução dos planos de ação dos riscos 2. Comitê de Auditoria a) analisar e opinar sobre a Política Institucional de Gestão de Riscos Corporativos e a metodologia de Gestão de Riscos Corporativos; c) conhecer e acompanhar o plano anual de trabalho de gestão de riscos corporativos; d) analisar e opinar sobre os níveis de alçada de riscos que definem as responsabilidades para aprovação e tratamento dos riscos; e) conhecer o mapa de riscos corporativos; f) acompanhar a evolução dos planos de ação mitigatórios dos riscos corporativos; 3. Diretoria Colegiada a) aprovar a Política Institucional de Gestão de Riscos Corporativos e submeter ao Conselho de Administração; b) aprovar a metodologia de Gestão de Riscos Corporativos e submeter ao Conselho de Administração; c) aprovar o Regimento Interno do Comitê de Gestão de Riscos Corporativos; d) aprovar a indicação dos membros do Comitê de Gestão de Riscos Corporativos; e) avaliar e aprovar os níveis de alçada de riscos que definem as responsabilidades para aprovação e tratamento dos riscos; f) aprovar o plano anual de trabalho em Gestão de Riscos Corporativos e apoiar o seu desenvolvimento; g) avaliar e aprovar a proposta de disseminação da cultura da gestão de riscos em todos os níveis da empresa; h) avaliar e aprovar periodicamente o mapa de riscos corporativos e planos de ação mitigatórios, submetendo ao Conselho de Administração os riscos que excederem seu nível de alçada; i) acompanhar a evolução dos planos de ação mitigatórios dos riscos corporativos; j) assegurar os recursos, de acordo com o nível de alçada, para execução dos planos de ação dos riscos 4. Comitê de Gestão de Riscos Corporativos a) avaliar a Política Institucional de Gestão de Riscos Corporativos e as propostas de alterações; b) conhecer a metodologia de Gestão de Riscos Corporativos; c) avaliar o Regimento Interno do Comitê de Gestão de Riscos Corporativos e as propostas de alterações; d) avaliar os níveis de alçada de riscos que definem as responsabilidades para aprovação e tratamento dos riscos; e) acompanhar o plano anual de trabalho em Gestão de Riscos Corporativos; f) avaliar a proposta de disseminação de cultura da gestão de riscos em todos os níveis da empresa; g) conhecer e acompanhar a execução dos planos de ação mitigatórios dos riscos corporativos; h) acompanhar os indicadores de riscos corporativos; i) avaliar o mapa de riscos corporativos; j) conhecer e acompanhar os trabalhos de identificação, análise, avaliação, tratamento e monitoramento dos riscos de responsabilidades das Diretorias e Superintendências; k) assessorar a Diretoria Colegiada nos assuntos relacionados à Gestão de Riscos Corporativos; l) conhecer os recursos aprovados para execução dos planos de ação. 5. Diretoria a) conhecer a Política Institucional de Gestão de Riscos Corporativos; b) conhecer a metodologia de Gestão de Riscos Corporativos; c) conhecer o Regimento Interno do Comitê de Gestão de Riscos Corporativos; d) conhecer e acompanhar o plano anual de trabalho de gestão de riscos corporativos; e) conhecer os níveis de alçada de riscos que definem as responsabilidades para aprovação e tratamento dos riscos; f) aprovar o mapa de riscos corporativos de sua Diretoria;
g) indicar o membro representante da Diretoria no Comitê de Gestão de Riscos Corporativos; h) apoiar a execução dos trabalhos de identificação, análise, avaliação, tratamento e monitoramento dos riscos; i) avaliar e aprovar a mensuração e os planos de ação mitigatórios de sua diretoria; k) acompanhar a evolução dos planos de ação mitigatórios dos riscos corporativos; l) assegurar os recursos, de acordo com o nível de alçada, para execução dos planos de ação dos riscos 6. Superintendências e Unidades de Negócio a) conhecer e aplicar a metodologia de Gestão de Riscos Corporativos; b) conhecer o plano anual de trabalho de gestão de riscos corporativos; c) conhecer os níveis de alçada de riscos que definem as responsabilidades para aprovação e tratamento dos riscos; d) identificar, analisar, avaliar, tratar e monitorar os riscos corporativos de sua competência; e) acompanhar a evolução dos planos de ação mitigatórios dos riscos corporativos, de sua competência; f) propor à Diretoria, o tratamento e os planos de ação mitigatórios e para os riscos corporativos de sua competência; g) assegurar os recursos, de acordo com o nível de alçada, para execução dos planos de ação dos riscos h) elaborar e manter atualizado o mapa de riscos em sua área de atuação em conjunto com a Superintendência de Gestão de Riscos e Qualidade - PK; i) definir e acompanhar os indicadores de riscos; 7. Superintendência de Gestão de Riscos e Qualidade a) disseminar a cultura da gestão de riscos em todos os níveis da empresa; b) propor e manter atualizada a Política Institucional de Gestão de Riscos Corporativos e o Regimento Interno do Comitê de Gestão de Riscos Corporativos; c) elaborar proposta de níveis de alçada de riscos e submetê-la a aprovação da Diretoria Colegiada; d) elaborar o plano anual de trabalho e submetê-lo a aprovação da Diretoria Colegiada; e) executar o plano anual de trabalho; f) propor medidas de apoio ao desenvolvimento da Gestão de Riscos Corporativos; g) propor os critérios para avaliação, mapeamento e classificação de riscos; h) contribuir na elaboração dos mapas de riscos corporativos; i) consolidar e garantir a distribuição dos mapas de riscos corporativos, de acordo com os níveis de alçada definidos; j) gerenciar o sistema informatizado de riscos com o objetivo de consolidar os resultados das avaliações de riscos; k) monitorar a evolução de implantação dos planos de ação e indicadores dos riscos corporativos; l) assessorar o Comitê de Gestão de Riscos Corporativos nos assuntos relacionados aos riscos; m) propor a metodologia e executar a comunicação dos riscos 8 - Superintendência de Auditoria a) Avaliar, de forma sistemática, o processo de gerenciamento de riscos e recomendar melhorias; b) Conhecer o mapa de riscos corporativos; c) Considerar o resultado do mapa de riscos corporativos para elaboração da programação de trabalho de auditoria interna da Sabesp.