02/04/2018 10:48 POLÍTICA DE GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS DA LOCALIZA RENT A CAR S.A. Companhia Aberta CNPJ nº 16.670.085/0001 55 NIRE nº 3130001144 5 Av. Bernardo de Vasconcelos, nº 377, Bairro Cachoeirinha, Belo Horizonte, MG Certificamos que o presente documento contém a Política de Gerenciamento de Riscos e Controles Internos da Localiza, aprovada na Reunião do Conselho de Administração de 21 de março de 2018. Belo Horizonte, 21 de março de 2018. José Salim Mattar Junior PRESIDENTE DO CONSELHO DE ADMINISTRAÇÃO 1
1. NORMAS GERAIS 1.1. Introdução 1.1.1. Este documento estabelece a Política de Gerenciamento de Riscos e Controles Internos da Localiza, elaborada de acordo com a Lei nº 6.404/76, as boas práticas de governança corporativa do Novo Mercado da Bolsa de Valores de São Paulo, bem como as normas gerais emitidas pela Comissão de Valores Mobiliários ( CVM ) sobre o assunto. 1.1.2. Quaisquer dúvidas acerca das disposições da presente Política, da regulamentação aplicável pela CVM ou outros órgãos reguladores nacionais e estrangeiros a que a Localiza esteja sujeita deverão ser esclarecidas com o Diretor de Relações com Investidores. 2. OBJETIVO E ABRANGÊNCIA 2.1. A presente Política de Gerenciamento de Riscos e Controles Internos ( Política ), tem por objetivo estabelecer controles e procedimentos para monitoramento, de forma a prevenir a ocorrência de erros e/ou fraudes, ou minimizar os seus impactos bem como definir os procedimentos e as responsabilidades na gestão de riscos, especialmente no tocante à identificação e análise dos riscos que possam afetar a Localiza Rent a Car S.A. ( Localiza ou Companhia ). 2.2. A Política aplica se a todos os macroprocessos, processos, subprocessos e operações de negócio da Localiza e suas subsidiárias. 2.3. Os sistemas de gestão de riscos e controles internos devem estimular todas as pessoas encarregadas de monitorar e fiscalizar os processos operacionais e financeiros a adotarem uma atitude preventiva, prospectiva e proativa no controle de riscos. 3. ETAPAS DO GERENCIAMENTO DE RISCO 3.1. Identificação dos Riscos: consiste em definir o conjunto de eventos, externos ou internos, que podem impactar os objetivos da Localiza, inclusive aqueles relacionados aos ativos intangíveis. 3.2. Análise dos Riscos: consiste em verificar a origem dos eventos, causas, consequências e a probabilidade de concretização de referidas consequências. 3.3. Avaliação dos Riscos: consiste a avaliar os impactos em caso de eventual ocorrência do Risco, considerando suas consequências financeiras ou de outras naturezas, quantificáveis ou não quantificáveis. 3.4. Tratamento dos Riscos: consiste em definir qual será o tratamento a ser adotado considerando as seguintes ações, de acordo com o grau de Apetite a Riscos da Companhia: evitar, mitigar, compartilhar ou aceitar. 3.5. Monitoramento dos Riscos: consiste em assegurar a eficácia e adequação dos Controles internos e obter informações que proporcionem melhorias no processo de gerenciamento de Riscos. O monitoramento deve ser realizado por meio de avaliações contínuas e isentas. 3.6. Informação e comunicação: comunicar, de forma clara e objetiva a todas as partes interessadas, os resultados de todas as etapas do processo de gerenciamento de Riscos, de forma a contribuir para o entendimento da situação atual e da eficácia dos Planos de Ação. 4. CONTROLES INTERNOS 4.1. A Companhia manterá uma área de Controles Internos responsável por gerenciar riscos operacionais e de processos, e que terá as seguintes atribuições: 2
4.1.1. Analisar e avaliar os fluxos internos dos processos da Companhia, de acordo com a metodologia adotada, identificando necessidades e oportunidades de melhoria nos processos com objetivo de mitigar riscos de erro nas Demonstrações Financeiras; 4.1.2. Desenvolver, em conjunto com as áreas, os planos de ação para cada "GAP" identificado no processo de mapeamento dos fluxos internos dos processos da Companhia, de acordo com a metodologia COSO; 4.1.3. Manter sempre atualizados os fluxos e processos mapeados de acordo com a metodologia COSO através do follow up continuo dos processos e subprocessos; 4.1.4. Manter a Administração atualizada quanto às deficiências de controle, Governança e Gestão de Riscos Corporativos, bem como do status de implantação dos Planos de Ação, através da elaboração de relatórios mensais, ou por trabalho executado; 4.1.5. Assegurar segregação de funções entre as atividades e cargos através do mapeamento de perfil de acesso, evitando conflitos de interesse; 4.1.6. Eliminar as deficiências de controle e avaliar a implantação das recomendações de melhoria identificadas pela auditoria externa e consultorias; 4.1.7. Apoiar a auditoria interna na implantação de suas recomendações de melhoria identificadas; 4.1.8. Suportar, quando demandado, a auditoria interna no processo de análise, identificação e implantação de procedimentos relacionados aos fluxos e processos; 4.1.9. Contribuir para o cumprimento das orientações e procedimentos determinados pelo Comitê de Auditoria e Gestão de Riscos através do desenho, mapeamento do fluxo e descrição de processos; 4.1.10. Analisar e acompanhar o cumprimento dos fluxos e procedimentos que geram impactos relevantes nas Demonstrações Financeiras, através da identificação e mapeamento das contas contábeis relevantes e suas movimentações/alterações; 4.1.11. Suportar a Administração e o Comitê de Auditoria, Gestão de Riscos e Compliance no desenvolvimento, implantação e gerenciamento de novos projetos; e 4.1.12. Manter a Governança em Tecnologia da Informação alinhada às práticas do COBIT assim como às premissas da gestão de riscos corporativos. 5. AUDITORIA INTERNA 5.1. A Companhia manterá uma área de Auditoria Interna independente da área de controles internos que terá as seguintes principais atribuições: 5.1.1. Desenvolver o Plano Anual de Auditoria Interna da Companhia em conformidade com as estratégias definidas pela Administração e Comitê de Auditoria, Gestão de Riscos e Compliance, e definindo a utilização de modelos, metodologias e ferramentas necessárias para a auditoria interna; 5.1.2. Auditar o cumprimento das normas internas, bem como a aplicação de leis, instruções normativas e outros dispositivos legais, por meio da realização de testes de auditoria que avaliem a eficácia e eficiência dos controles internos; 3
5.1.3. Contribuir com melhoria nos processos e controles internos da Companhia, através do reporte para a Administração das falhas/fraquezas identificadas; 5.1.4. Propor medidas para a prevenção, controle e redução de riscos que possam ter impacto sobre o patrimônio, os interesses ou a imagem da Companhia, através da revisão dos procedimentos de controles avaliados durante os trabalhos e testes de auditoria; 5.1.5. Assessorar na implementação dos planos de melhorias elaborados com base nos resultados dos testes de auditoria nos processos de controles internos e gestão de riscos corporativos, por meio da orientação e apoio nas atividades necessárias para o atingimento dos objetivos pretendidos; 5.1.6. Gerenciar e liderar os procedimentos a serem executados por consultores externos nos trabalhos de auditoria interna, por meio da orientação e participação em todas as etapas de trabalho e na avaliação dos resultados obtidos; 5.1.7. Investigar denúncias e/ou indícios de fraudes ou descumprimentos das políticas internas da Companhia, por meio da análise dos resultados obtidos nos testes de auditoria e através do gerenciamento do canal de denúncias da Companhia; 5.1.8. Auditar as atividades para a conformidade aos requisitos da legislação vigente aplicável, por meio da avaliação dos controles internos relacionados às informações geradas para fins de Demonstrações Financeiras da Companhia; 5.1.9. Auditar o processo de gestão de riscos da Companhia, através da avaliação dos riscos; 5.1.10. Mapear as responsabilidades relacionadas às atividades de gestão de Riscos, assim como alçadas de aprovações e escopos de atuação; 5.1.11. Preparar relatórios periódicos de consolidação dos riscos da Companhia e submetê los ao Comitê; 5.1.12. Apoiar os gestores de processo na definição dos Planos de Ação necessários para tratamento dos Riscos e assegurar a implementação dos Planos de Ação; 5.1.13. Reportar, de modo transparente, as informações relacionadas às suas atividades de gerenciamento de riscos ao Comitê; 5.1.14. Liderar os trabalhos de auditoria interna para detecção de Riscos e para monitoramento da eficácia dos Controles internos para mitigar tais Riscos. 6. COMITÊ DE AUDITORIA E GESTÃO DE RISCOS 6.1. A Companhia possuirá um Comitê de Auditoria e Gestão de Riscos, cujas principais características obedecerão ao estabelecido a seguir. 6.2. O Comitê, órgão estatutário de caráter permanente, se reportará diretamente ao Conselho de Administração da Localiza e terá como responsabilidades, nos termos de seu Regimento Interno: 6.2.1. Recomendar a contratação ou destituição da empresa para prestação de serviços de auditoria independente e opinar sobre a contratação de quaisquer outros serviços a serem prestados pelo auditor independente; 6.2.2. Garantir que as auditorias independentes e seus auditores não exerçam quaisquer funções de Administração, nem tomem decisões no nível da Administração ou atuem em capacidade equivalente à de um funcionário da Companhia; 4
6.2.3. Garantir que não sejam contratados serviços extra auditoria que possam comprometer a independência dos auditores; 6.2.4. Monitorar a efetividade do trabalho dos auditores independentes, discutindo e avaliando o plano anual de trabalho elaborado, encaminhando o ao Conselho para apreciação; 6.2.5. Garantir o contato e reporte direto da auditoria independente com o Conselho de Administração; 6.2.6. Manifestar se sobre o relatório de recomendação de falha dos controles internos da auditoria independente; 6.2.7. Gerenciar e acompanhar os trabalhos da área de controles internos e da auditoria interna, inclusive quanto ao tratamento dado às denúncias de fraudes e/ou irregularidades recebidas pelo Canal Confidencial, garantindo a proteção e a confidencialidade das informações tratadas; 6.2.8. Analisar o relatório da Administração, as demonstrações financeiras, as informações trimestrais, o formulário de referência (e suas atualizações) e as informações divulgadas ao mercado (Earnings Release), efetuando recomendações que entender necessárias; 6.2.9. Avaliar e monitorar a efetividade e suficiência da estrutura de controles internos e dos processos de auditoria interna e independente, apresentando recomendações de aprimoramento de políticas, práticas e procedimentos que entender necessárias; 6.2.10. Avaliar a efetividade e suficiência dos sistemas de controles e gerenciamento de riscos legais, abrangendo o contencioso cível, tributário, trabalhista, dentre outros; 6.2.11. Opinar sobre as propostas da Administração a serem submetidas à Assembleia Geral, quando relativas à modificação do capital social, emissão de debêntures ou bônus de subscrição, orçamento de capital, distribuição de dividendos, transformação, incorporação, fusão ou cisão; 6.2.12. Supervisionar a implementação e manutenção do Programa de Compliance, incluindo a aprovação do Plano Anual de Compliance e políticas internas relacionadas; 6.2.13. Monitorar as exposições de risco da Companhia, fornecendo diretrizes para o Programa de Compliance; 6.2.14. Avaliar e monitorar as transações com partes relacionadas realizadas pela Companhia; 6.2.15. O Comitê poderá solicitar a contratação de serviços de consultoria ou assessoria mediante aprovação prévia do Conselho; 6.2.16. Divulgar, anualmente, dentro das Demonstrações Financeiras, relatório resumido do Comitê contemplando as reuniões realizadas e os principais assuntos discutidos, destacando as recomendações feitas ao Conselho; 6.2.17. As áreas de Auditoria Interna e Controles Internos, serão subordinadas ao Comitê de Auditoria, Gestão de Riscos e Compliance; 6.2.18. O Comitê de Auditoria, Gestão de Riscos e Compliance, exercerá a função de Conselho Fiscal enquanto este não for instalado; 6.2.19. A diretrizes sobre a estrutura, composição, eleição e mandato do Comitê, dentre outras regras, estarão detalhadamente descritas no Regimento Interno do Comitê. 5
7. CONSELHO DE ADMINISTRAÇÃO: 7.1. Além das responsabilidades e atribuições previstas em seu Regimento, deverá o Conselho de Administração da Localiza: 7.1.1. Aprovar a Política de Gerenciamento de Riscos da Companhia e suas futuras revisões; e 7.1.2. Avaliar se a administração está adotando os controles necessários para o gerenciamento dos Riscos. 8. DIRETORIAS EXECUTIVAS: 8.1. Caberá à Diretoria, além das demais atribuições previstas em seu Regimento: 8.1.1. Implementar as estratégias e diretrizes da Companhia aprovadas pelo Conselho de Administração; 8.1.2. Atuar diretamente no gerenciamento de Riscos de sua área, privilegiando a identificação, avaliação, tratamento e monitoramento dos riscos; 8.1.3. Assegurar a implementação dos Planos de Ação definidos para tratamento dos Riscos; 8.1.4. Reportar à Auditoria Interna informações relacionadas às suas atividades que possam impactar no gerenciamento de riscos e de conformidade; 8.1.5. Comunicar à Auditoria Interna tempestivamente sobre Riscos não identificados, sejam eles novos ou não; 8.1.6. Cumprir o Plano de Ação alinhado com a área de Auditoria Interna e Compliance e implantá lo segundo a prioridade nele definida. 9. OUTRAS DISPOSIÇÕES 9.1. Qualquer alteração desta Política deverá ser aprovada pelo Conselho de Administração da Localiza. 9.2. Localiza disponibilizará esta Política a seus acionistas por meio de sua página na internet de relações com investidores. 10. VIGÊNCIA 10.1. A presente Política entrará em vigor na data de sua aprovação pelo Conselho de Administração e permanecerá vigorando por prazo indeterminado, até que haja deliberação em sentido contrário. 6