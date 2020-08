Companhia de Saneamento do Paraná SANEPAR : Política de Gerenciamento de Riscos Estratégicos e Controle Interno 0 08/14/2020 | 05:38pm EDT Send by mail :

POLÍTICA DE GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS Sumário 1 DISPOSIÇÕES GERAIS .................................................................................................................... 2 2 INTRODUÇÃO ............................................................................................................................... 2 3 OBJETIVOS.................................................................................................................................... 2 4 ABRANGÊNCIA.............................................................................................................................. 2 5 DEFINIÇÕES................................................................................................................................... 2 6 REVISÃO ....................................................................................................................................... 4 7 DIRETRIZES ................................................................................................................................... 4 8 PROCESSO DE GERENCIAMENTO DE RISCOS ................................................................................. 5 8.1 LIMITES DE EXPOSIÇÃO ....................................................................................................................... 6 9 ESTRUTURA .................................................................................................................................. 7 10 RESPONSABILIDADES.................................................................................................................... 8 10.1 CONSELHO DE ADMINISTRAÇÃO .......................................................................................................... 8 10.2 COMITÊ DE AUDITORIA ESTATUTÁRIO................................................................................................... 8 10.3 DIRETORIA EXECUTIVA...................................................................................................................... 8 10.4 COMITÊ DE GERENCIAMENTO DE RISCOS ............................................................................................... 9 10.5 ÁREA DE GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS ................................................................ 10 10.6 DONOS DOS RISCOS ESTRATÉGICOS ................................................................................................... 11 10.7 FACILITADORES DE RISCOS ESTRATÉGICOS............................................................................................ 12 10.8 GESTORES DE PROCESSOS.................................................................................................................. 12 10.9 FOCAL DE CONTROLE INTERNO............................................................................................................ 13 10.10 AGENTE DE CONTROLE INTERNO ..................................................................................................... 13 11 RESPONSABILIZAÇÕES..................................................................................................................... 13 12 DISPOSIÇÕES FINAIS........................................................................................................................ 14 13 REFERÊNCIAS................................................................................................................................... 14 14 HISTÓRICO ...................................................................................................................................... 14 Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 1 de 14 1 DISPOSIÇÕES GERAIS Esta Política foi aprovada pelo Conselho de Administração da Companhia em sua 07ª/2020 Reunião Ordinária, realizada em 23 de julho de 2020. 2 INTRODUÇÃO A necessidade de adaptação às boas práticas de Governança Corporativa demanda das organizações a busca por mecanismos de gestão e controle que visam a preservação e a geração de valor, de maneira alinhada à sua missão, visão, valores e objetivos estratégicos. Por intermédio desse documento, a Sanepar reforça e estabelece regras de governança e diretrizes gerais para seu processo integrado de gerenciamento dos riscos e de controles internos corporativos, o qual tem como propósito atuar como uma ferramenta incorporada à tomada de decisão da Companhia para o atingimento dos seus objetivos estratégicos. 3 OBJETIVOS Estabelecer princípios, diretrizes, regras, responsabilidades e conceitos a serem observados nos processos de gerenciamento de riscos e de controle interno no âmbito corporativo, de forma a possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação dos riscos e de controles internos da Companhia. Incorporar a visão e a prática de riscos e controles internos à tomada de decisões da Sanepar. 4 ABRANGÊNCIA Essa política é aplicada a todos os empregados da Sanepar, incluindo membros do Conselho de Administração e Fiscal, Comitês Estatutários e Diretoria Executiva. 5 DEFINIÇÕES Os principais termos citados nesta política corporativa incluem: 1ª linha de defesa: refere-se aos controles existentes nos processos das gerências;

refere-se aos controles existentes nos processos das gerências; 2ª linha de defesa: são as diversas funções corporativas de controles de riscos e supervisão de conformidade sobre a primeira linha de defesa;

são as diversas funções corporativas de controles de riscos e supervisão de conformidade sobre a primeira linha de defesa; 3ª linha de defesa: é a avaliação independente realizada pela auditoria interna;

é a avaliação independente realizada pela auditoria interna; Ação mitigatória: medida adotada pela Companhia que proporciona uma redução da sua exposição ao risco e que busca atenuar a possibilidade de materialização do risco; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 2 de 14 Agentes de Controles Internos: empregados designados pelos seus gerentes para dar suporte as atividades de controles internos das Gerências;

empregados designados pelos seus gerentes para dar suporte as atividades de controles internos das Gerências; Apetite a Risco: nível máximo de exposição de impacto dos riscos para o acionamento da governança de riscos;

nível máximo de exposição de impacto dos riscos para o acionamento da governança de riscos; Avaliação dos sistemas de controles internos: avaliação do processo de negócio que permite identificar os riscos e os controles internos necessários para mitigá-los;

Controle Interno: é um processo conduzido pela estrutura de governança, administração e outros profissionais da organização, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados às operações, divulgação e conformidade;

é um processo conduzido pela estrutura de governança, administração e outros profissionais da organização, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados às operações, divulgação e conformidade; COSO: (Committee of Sponsoring Organizations of the Treadway Commission /

Comitê das Organizações Patrocinadoras): instituição privada, sem fins lucrativos, que visa prover documentos e/ou relatórios financeiros com o maior nível de veracidade possível, utilizando, para isto, princípios como ética organizacional, transparência, controles internos, gerenciamento de riscos e governança corporativa. Este Comitê estabeleceu as metodologias denominadas COSO ERM (Enterprise Risk Management/ Gestão de Riscos Corporativos), referência de mercado no tema e COSO IF (Controles Internos/Integrated Framework);

(Committee of Sponsoring Organizations of the Treadway Commission / Comitê das Organizações Patrocinadoras): instituição privada, sem fins lucrativos, que visa prover documentos e/ou relatórios financeiros com o maior nível de veracidade possível, utilizando, para isto, princípios como ética organizacional, transparência, controles internos, gerenciamento de riscos e governança corporativa. Este Comitê estabeleceu as metodologias denominadas COSO ERM (Enterprise Risk Management/ Gestão de Riscos Corporativos), referência de mercado no tema e COSO IF (Controles Internos/Integrated Framework); Custo-Benefício: Consiste na redução do risco de falhas quanto ao cumprimento dos objetivos e metas de uma atividade, porém dentro do conceito de que o custo não deve exceder os benefícios proporcionados;

Consiste na redução do risco de falhas quanto ao cumprimento dos objetivos e metas de uma atividade, porém dentro do conceito de que o custo não deve exceder os benefícios proporcionados; Dono do Risco: diretor executivo da Companhia, o qual terá o papel de monitorar e tratar os riscos estratégicos que lhe forem designados;

diretor executivo da Companhia, o qual terá o papel de monitorar e tratar os riscos estratégicos que lhe forem designados; Facilitador de Riscos: profissionais nomeados pelos Donos dos Riscos para assessorá-los em suas atribuições e atividades referente aos riscos estratégicos;

profissionais nomeados pelos Donos dos Riscos para assessorá-los em suas atribuições e atividades referente aos riscos estratégicos; Fator de Risco: qualquer condição que, combinada ou individualmente, possa potencializar a probabilidade de materialização do risco;

qualquer condição que, combinada ou individualmente, possa potencializar a probabilidade de materialização do risco; Focal de controle interno: profissionais designados pelos seus diretores, para atuar na execução da avaliação dos sistemas de controles internos dos processos de sua diretoria;

profissionais designados pelos seus diretores, para atuar na execução da avaliação dos sistemas de controles internos dos processos de sua diretoria; Impacto do risco: avaliação qualitativa e/ou quantitativa do efeito do risco na Companhia, se materializado;

avaliação qualitativa e/ou quantitativa do efeito do risco na Companhia, se materializado; Indicador de risco: métrica utilizada para monitorar e analisar a variação dos riscos estratégicos mapeados a partir de dados obtidos no ambiente interno e externo à Companhia;

métrica utilizada para monitorar e analisar a variação dos riscos estratégicos mapeados a partir de dados obtidos no ambiente interno e externo à Companhia; Matriz de riscos: representação gráfica da exposição dos riscos estratégicos identificados pela SANEPAR de acordo com a criticidade de cada risco, que é estabelecida pela avaliação de seu impacto versus sua probabilidade;

representação gráfica da exposição dos riscos estratégicos identificados pela SANEPAR de acordo com a criticidade de cada risco, que é estabelecida pela avaliação de seu impacto versus sua probabilidade; Perfil de risco: disposição da Companhia para incorrer em riscos. Exemplos de

perfis de risco: conservador, moderado e agressivo;

disposição da Companhia para incorrer em riscos. Exemplos de perfis de risco: conservador, moderado e agressivo; Plano de trabalho integrado de gerenciamento de riscos: documento elaborado pela área de gerenciamento de riscos e controles internos contendo o planejamento periódico das atividades a serem executadas, reportadas e apresentadas, prazos, recursos necessários e responsáveis; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 3 de 14 Portfólio de riscos: catálogo de apresentação das características e informações

de cada risco, sendo elas: descrição do risco e de seu (s) fatore (s), criticidade do risco inerente e do residual, ações mitigatórias existentes, resposta (s) ao risco e planos de ação e de contingências, se aplicável;

catálogo de apresentação das características e informações de cada risco, sendo elas: descrição do risco e de seu (s) fatore (s), criticidade do risco inerente e do residual, ações mitigatórias existentes, resposta (s) ao risco e planos de ação e de contingências, se aplicável; PPI: Plano Plurianual de Investimentos;

Plano Plurianual de Investimentos; Resposta ao risco: definição do tratamento que a Companhia dará ao risco residual. Como resposta, pode-se optar por evitar, reduzir, compartilhar ou aceitar o risco;

definição do tratamento que a Companhia dará ao risco residual. Como resposta, pode-se optar por evitar, reduzir, compartilhar ou aceitar o risco; Risco: é a incerteza sobre a possibilidade de perdas ou ganhos relacionados ao rumo dos acontecimentos relativos aos objetivos estratégicos da Companhia;

é a incerteza sobre a possibilidade de perdas ou ganhos relacionados ao rumo dos acontecimentos relativos aos objetivos estratégicos da Companhia; Risco estratégico: risco que possa interromper o alcance dos objetivos e a execução da estratégia planejada;

risco que possa interromper o alcance dos objetivos e a execução da estratégia planejada; Risco inerente: risco intrínseco da atividade na Companhia;

risco intrínseco da atividade na Companhia; Risco residual: risco que permanece após a adoção de medidas para a mitigação das avaliações de impacto e/ou probabilidade de materialização dos riscos inerentes;

risco que permanece após a adoção de medidas para a mitigação das avaliações de impacto e/ou probabilidade de materialização dos riscos inerentes; Segregação de funções: Busca eliminar a possibilidade de dissimulação de erros ou irregularidades. Assim sendo, os procedimentos destinados a detectar tais erros ou irregularidades, devem ser executados por pessoas que não estejam em posição de praticar a mesma;

Busca eliminar a possibilidade de dissimulação de erros ou irregularidades. Assim sendo, os procedimentos destinados a detectar tais erros ou irregularidades, devem ser executados por pessoas que não estejam em posição de praticar a mesma; Tolerância a risco: percentual do apetite a risco definido pela Companhia que, quando atingido, aciona a governança para a gestão dos riscos. 6 REVISÃO A política deve ser revisada anualmente ou sempre que demandado, pelo Comitê de Gerenciamento de Riscos e Controle Interno, pela Diretoria Executiva, pelo Comitê de Auditoria Estatutário ou pelo Conselho de Administração. As alterações realizadas neste documento devem ser encaminhadas para aprovação dos órgãos de governança citados acima. 7 DIRETRIZES Disseminar a importância do gerenciamento de riscos e controles internos entre os empregados para a internalização dessa cultura durante o desenvolvimento e realização das atividades e rotinas dos processos da Companhia;

Adotar regras de estruturas e mecanismos que abranjam a ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno, consoante o que estabelece o artigo 9º, Inciso I da Lei 13.303/2016;

Garantir que a área responsável pela verificação de cumprimento de obrigações e de gestão de riscos e controles internos corporativos (2ª linha de defesa), esteja consoante com o que estabelece o parágrafo 2º, artigo 9º da Lei 13.303/2016; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 4 de 14 Assegurar o cumprimento das normas e regulamentos e aderência às políticas e procedimentos internos;

Alinhar os controles Internos aos riscos e objetivos estratégicos da Companhia;

Garantir a aplicação do princípio da segregação de funções de forma que seja evitada a ocorrência de conflitos de interesses e fraudes;

Garantir o reporte aos agentes de governança por meio de relatórios periódicos de análise crítica e monitoramento de riscos e controles da Companhia;

Adotar a abordagem por linhas de defesa, que contempla a atuação integrada entre: (i) gestão dos processos, (ii) controles internos, gestão de riscos e Compliance e (iii) a auditoria interna;

Garantir que na 1ª linha de defesa, a gestão dos processos seja responsável por implementar ações que assegurem a conformidade de seus processos e o adequado gerenciamento dos riscos e respectivos controles;

Garantir que a 2ª linha de defesa auxilie e monitore a primeira linha de defesa, no cumprimento de suas responsabilidades em conduzir a gestão com eficiência para o gerenciamento dos riscos, controles internos e conformidade dos seus processos;

Garantir que a 3ª terceira linha de defesa forneça aos órgãos de governança, avaliações sobre a eficácia dos processos frente ao gerenciamento de riscos e controles internos;

Garantir que o gerenciamento de riscos se faça presente em todos os processos de gestão, controles internos e auditoria interna, promovendo a identificação antecipada dos riscos e a gestão tempestiva dos mesmos;

Garantir que os riscos identificados sejam analisados, classificados, priorizados e suas respostas definidas;

Garantir que a melhoria contínua do processo de gerenciamento de riscos e controles internos seja promovida por meio de ciclos de avaliações e revisões, de modo a assegurar a eficácia do gerenciamento e do monitoramento dos riscos;

Assegurar que todas as áreas gestoras dos processos forneçam todas as informações necessárias, tempestivamente, para o desenvolvimento dos trabalhos realizados pela área de governança riscos e Compliance. 8 PROCESSO DE GERENCIAMENTO DE RISCOS As atividades de gerenciamento de riscos terão como referência as boas práticas de Governança Corporativa estabelecidas pelos padrões e metodologia do Commite of Sponsoring Organization of Tradeway Commission - COSO e compõe o segundo pilar, Análise de Riscos e Ambiente de Controle, do Programa de Integridade da Sanepar. O Processo de gerenciamento de Riscos é conduzido para garantir, com razoável certeza, que os objetivos da Companhia sejam atingidos nos aspectos estratégicos e operacionais: Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 5 de 14 Na identificação e mapeamento dos riscos estratégicos que possam impactar o atingimento dos objetivos estratégicos da Companhia. O ponto de partida é o planejamento estratégico que subsidia a captura desses riscos para permitir a avaliação de suas criticidades (impacto e probabilidade), a identificação de ações mitigatórias já existentes, controles internos, definição de novas ações de tratamento, monitoramento e reporte;

As informações acima devem ser registradas em uma matriz e em um portfólio de riscos, revisados anualmente, considerando o rumo dos acontecimentos relacionados aos objetivos estratégicos e a mudança no agravamento do impacto ou probabilidade dos riscos;

O monitoramento contínuo dos riscos estratégicos priorizados utiliza-se de indicadores, os quais devem ser avaliados mensalmente pelo Comitê de Gerenciamento de Riscos, trimestralmente pela Diretoria Executiva, Comitê de Auditoria Estatutário e Conselho de Administração, ou a qualquer momento em casos relevantes;

utiliza-se de indicadores, os quais devem ser avaliados mensalmente pelo Comitê de Gerenciamento de Riscos, trimestralmente pela Diretoria Executiva, Comitê de Auditoria Estatutário e Conselho de Administração, ou a qualquer momento em casos relevantes; Em relação ao aspecto operacional, garantir o mapeamento dos processos, por meio da avaliação dos sistemas de controles internos, mediante o estabelecimento de fluxogramas de procedimentos, matrizes de riscos, de controles internos, de alinhamento e de oportunidades de melhorias, resultando em planos de tratamento para mitigar, com razoável certeza, os riscos e melhorar a eficiência dos processos. 8.1 Limites de exposição A companhia considera os limites de exposição (apetite e tolerância) aos riscos estabelecidos dentro do perfil conservador 1 , sendo eles estabelecidos de acordo com natureza de cada risco 2 : 8.1.1 Riscos natureza estratégica: O apetite a este tipo de risco é mensurado em valor financeiro e representa o impacto máximo, no horizonte de um ano, que a Companhia está disposta a assumir para atingir seus objetivos;

O apetite deve ser calculado de acordo com metodologia estabelecida, composta por 2 abordagens: a quantitativa, na qual calcula-se o desvio aceito decorrente da materialização de riscos e; a qualitativa, na qual é feita a ponderação do valor definido na primeira abordagem por meio da análise da Companhia sob as óticas de variação de indicadores relevantes, da estrutura de capital, do ambiente de controle, da reputação e Compliance;

calcula-se o desvio aceito decorrente da materialização de riscos e; a qualitativa, na qual é feita a ponderação do valor definido na primeira abordagem por meio da análise da Companhia sob as óticas de variação de indicadores relevantes, da estrutura de capital, do ambiente de controle, da reputação e Compliance; A tolerância é um percentual do apetite a risco estabelecido que, quando atingido, aciona a Governança para a gestão dos riscos; Perfil conservador, considerando (i) o tipo de Negócio, onde a Companhia possui Contratos de Concessão e de Programas com os municípios, com maturity médio dos contratos de 20,4 anos; (ii) Perfil da Dívida com baixa alavancagem dentro das métricas dos covenants; (iii) Contratação de operação de proteção (hedge) à exposição cambial; (iv) Possui Política de Gestão de Risco, Tesouraria e Mercado. Riscos de natureza financeira são tratados na Política de Gestão de Risco, Tesouraria e Mercado, disponível no Portal de Relações com Investidores da Sanepar. Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 6 de 14 O apetite bem como a tolerância, devem ser atualizados anualmente, ou quando da ocorrência de fatos relevantes;

Caso a somatória dos impactos financeiros estimados para os riscos estratégicos priorizados ultrapasse a tolerância definida, a Governança deve ser acionada para reavaliar o plano de mitigação existente. 8.1.2 Riscos de natureza operacional O apetite a riscos de natureza operacional é estabelecido com base na criticidade dos riscos identificados no mapeamento dos processos;

Para os riscos avaliados como "Significativo" e "Crítico", deve-se obrigatoriamente estabelecer planos de tratamento para mitigar a probabilidade e impacto de materialização;

deve-se obrigatoriamente estabelecer planos de tratamento para mitigar a probabilidade e impacto de materialização; Para os riscos avaliados como "Moderados", é recomendável a elaboração de planos de tratamento e monitoramento das ações e controles existentes para conservação ou redução deste nível;

Para os riscos avaliados como "Baixos" deve-se manter e monitorar as ações e controles existentes para conservação deste nível;

deve-se manter e monitorar as ações e controles existentes para conservação deste nível; Para os riscos de Compliance identificados na avaliação dos processos, deverão ter planos de ações definidos, independentemente de sua criticidade, a fim de mitigá- los. Demais exceções, devem ser discutidas pela diretoria executiva e aprovadas pelo Conselho de Administração. 9 ESTRUTURA A área responsável pela verificação de cumprimento de obrigações e de gerenciamento de riscos e controles internos corporativos (2ª linha de defesa), deve ser vinculada ao diretor presidente e liderada por diretor estatutário, devendo o Regimento Interno da Diretoria Executiva definir as atribuições da área, bem como estabelecer estruturas e mecanismos que assegurem atuação independente, consoante o que estabelece o parágrafo 2º, artigo 9º da Lei 13.303/2016. A Diretoria Adjunta de Governança, Riscos e Compliance é responsável pela garantia de aplicação dessa Política. Para tanto, os gestores dos processos impactados pelos riscos, devem prestar todas as informações necessárias, tempestivamente, para o desenvolvimento dos trabalhos realizados. O orçamento e a estrutura dos processos de Gerenciamento de Riscos e Controles Internos devem ser avaliados pela Auditoria Interna, a fim de atestar se estão adequados às atividades e ao porte da Companhia. Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 7 de 14 10 RESPONSABILIDADES 10.1 Conselho de Administração Aprovar diretrizes para o processo integrado de gerenciamento de riscos e controles internos da SANEPAR (metodologia, processos, sistemas, política, padrões e mecanismos de reporte, dentre outros);

Aprovar o apetite e tolerância a risco;

Aprovar os riscos estratégicos priorizados e seus respectivos planos de resposta e contingência;

Avaliar periodicamente o portfólio dos riscos estratégicos e suas ações mitigatórias;

Acompanhar os resultados dos processos de gerenciamento de riscos e de controles internos, por meio de relatórios executivos;

Avaliar e validar a estrutura de controles internos e gerenciamento de riscos estabelecida para garantir o tratamento dos riscos;

Aprovar o plano de trabalho de gerenciamento de riscos. 10.2 Comitê de Auditoria Estatutário Assessorar o Conselho de Administração na aprovação dos riscos estratégicos a serem priorizados e de seus respectivos planos de mitigação e contingência, bem como das modificações na avaliação de criticidade dos riscos, do apetite a risco e da definição de diretrizes e políticas para o processo de gerenciamento de riscos integrados aos controles internos;

Assessorar o Conselho de Administração na análise das avaliações independentes anuais referentes aos processos de gerenciamento de riscos e controles internos;

Acompanhar os resultados, planos de ações e de contingências dos processos de gerenciamento de riscos e de controles internos e reportar eventuais recomendações ao Conselho de Administração;

Monitorar a qualidade e a integridade dos mecanismos de gerenciamento de riscos e de controles internos. 10.3 Diretoria Executiva Promover o processo de gerenciamento de riscos e de controles internos da SANEPAR (metodologia, processos, sistemas, política, padrões e mecanismos de reporte, dentre outros) e garantir que estejam alinhados às boas práticas de gestão, inclusive ao planejamento estratégico da Companhia;

Assegurar a aplicação das diretrizes e a aderência ao gerenciamento de riscos e aos procedimentos de controles internos; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 8 de 14 Deliberar sobre os procedimentos de gerenciamento de riscos e controles internos e suas atualizações;

Revisar e validar o valor do apetite e tolerância a risco;

Avaliar o plano de trabalho de gerenciamento de riscos e encaminhá-lo para aprovação do Conselho de Administração;

encaminhá-lo para aprovação do Conselho de Administração; Revisar e aprovar o portfólio de riscos estratégicos;

Acompanhar e gerir todos os riscos estratégicos do portfólio;

Definir os donos dos riscos;

Avaliar os planos de ação sugeridos pelos donos dos riscos e aprovar eventuais postergações de prazos;

Encaminhar ao Conselho de Administração, para aprovação, os riscos estratégicos priorizados e seus respectivos planos de ação e contingência;

Deliberar sobre os resultados dos processos de gerenciamento de riscos e de controles internos;

Indicar a necessidade de avaliações independentes do processo de gerenciamento de riscos e controles internos (agentes internos ou externos), de modo a assegurar sua eficácia;

Garantir o desenvolvimento contínuo dos profissionais atuantes em gerenciamento de riscos e controles internos da Companhia;

Assegurar autonomia aos agentes de controles internos da Sanepar no exercício de suas atividades, garantindo o acesso a documentos, sistemas de informação e pessoas, e demais elementos necessários ao exercício de suas atividades;

Assegurar o alinhamento entre o Planejamento Estratégico (inclusive o Plano Plurianual de Investimentos - PPI) e o Gerenciamento de Riscos e Controle Interno, visando o adequado tratamento dos riscos;

Designar focais de controles internos, considerando a competência e o perfil adequados para o desempenho da atribuição. 10.4 Comitê de Gerenciamento de Riscos Avaliar as variações de criticidade dos riscos e quando essas forem significativas, reportá-las à Diretoria Executiva, ao Comitê de Auditoria Estatutário e ao Conselho de Administração;

reportá-las à Diretoria Executiva, ao Comitê de Auditoria Estatutário e ao Conselho de Administração; Analisar, propor e deliberar sobre diretrizes e estratégias dos processos de gerenciamento de riscos e controles internos;

Quando necessário, analisar e apresentar pontos de melhoria no processo de gerenciamento de riscos e controles internos (metodologia, processos, sistemas, política, padrões e mecanismos de reporte, dentre outros); Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 9 de 14 Subsidiar a Diretoria na definição do apetite e tolerância a risco;

Avaliar e deliberar para a diretoria executiva o plano de trabalho de gerenciamento de riscos;

Acompanhar mensalmente o resultado das ações mitigatórias e dos indicadores de riscos propostos para o tratamento dos riscos estratégicos priorizados;

Acompanhar trimestralmente o resultado das avaliações dos sistemas de controles internos dos processos;

Avaliar e recomendar recursos necessários para a execução dos processos de gerenciamento de riscos e controles internos;

Zelar pelo cumprimento da Política de Gerenciamento de Riscos;

Posicionar sobre as atividades do Comitê, quando demandado pela Diretoria Executiva, Comitê de Auditoria Estatutário e Conselho de Administração;

Analisar e recomendar sobre portfólio e planos de tratamento de riscos estratégicos sempre que houver atualizações;

Analisar e propor priorização de riscos estratégicos;

Analisar e recomendar sobre planos de tratamento resultantes das avaliações dos sistemas dos controles internos dos processos. 10.5 Área de Gerenciamento de Riscos e Controles Internos Propor e revisar diretrizes para os processos de Gerenciamento de Riscos e Controles Internos (metodologia, processos, sistemas, política, portfólio de riscos, padrões e mecanismos de reporte, dentre outros);

Disseminar conhecimentos sobre gestão de riscos e controles internos aos empregados, de modo a fortalecer essa cultura na Companhia;

Elaborar e revisar periodicamente o plano de trabalho de gerenciamento de riscos;

Coordenar e monitorar o processo de revisão do portfólio de riscos estratégicos, bem como a avaliação dos sistemas de controles internos;

Atuar em conjunto com a Diretoria Executiva, Comitê de Auditoria Estatutário e Conselho de Administração, na discussão sobre a definição do apetite e tolerância a risco da Companhia;

Monitorar o alinhamento entre o Planejamento Estratégico (inclusive o PPI) e o Gerenciamento de Riscos e Controle Interno, visando o adequado tratamento dos riscos;

Elaborar, revisar e atualizar o portfólio de riscos sempre que houver atualizações no Mapa Estratégico da Companhia ou quando eventos relevantes ocorrerem;

Auxiliar na definição dos donos dos riscos e nos agentes de controles internos; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 10 de 14 Auxiliar o dono e facilitador na definição dos indicadores de riscos, ações de tratamento e planos de contingências;

Acompanhar mudanças na criticidade dos riscos estratégicos e reportá-las ao Comitê de Gerenciamento de Riscos e à Diretoria Executiva;

reportá-las ao Comitê de Gerenciamento de Riscos e à Diretoria Executiva; Elaborar relatórios com os resultados dos processos de gerenciamento de riscos e de controles internos;

Reportar mensalmente os resultados ao Comitê de Riscos e trimestralmente à Diretoria Executiva, Comitê de Auditoria Estatutário e Conselho de Administração;

Garantir o alinhamento entre os riscos operacionais e os estratégicos;

Monitorar a realização dos planos de tratamento resultantes da avaliação dos sistemas de controles internos;

Auxiliar os gestores, focais e os agentes de controles internos no desenvolvimento dos trabalhos de avaliação dos sistemas de controles internos;

Garantir que as recomendações relacionadas a riscos e controles internos, feitas pela Auditoria Interna Auditoria e Externa, Órgãos fiscalizadores e controladores externos, sejam incorporadas ao mapeamento dos processos e aos planos de tratamento. 10.6 Donos dos Riscos Estratégicos Indicar o facilitador do risco, considerando competência e perfil adequados para os papéis e para auxiliar nas garantias abaixo;

Garantir a elaboração das fichas de riscos e suas atualizações, sempre que necessário;

Desenvolver indicadores para monitorar a variação e os resultados do risco sob sua responsabilidade;

Garantir a implantação de ações necessárias para a mitigação dos riscos, juntamente com o envolvimento de outras áreas;

Acompanhar o repasse mensal feito à área de Gerenciamento de Riscos dos dados e análises críticas necessárias, bem como a atualização do impacto financeiro, para as elaborações dos relatórios de riscos;

Informar à área de Gerenciamento de Riscos, eventuais mudanças significativas na probabilidade e/ou impacto do risco ou em qualquer outra característica e, caso identifique, riscos não mapeados;

Efetuar, quando demandados, reportes aos órgãos de governança sobre o desenvolvimento dos planos de ação para a mitigação dos riscos e dos planos de contingências; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 11 de 14 Promover sistemática de debates e discussões desdobradas em seus fóruns de atuação e junto as suas gerências, de modo a assegurar a eficácia do gerenciamento e do monitoramento dos riscos;

Realizar a revisão técnica do risco, dos seus fatores, da criticidade do risco (impacto versus probabilidade), considerando alterações em ações mitigatórias existentes, conclusão dos planos de ação e de contingência;

Identificar e definir as respostas aos riscos (evitar, mitigar, compartilhar ou aceitar). 10.7 Facilitadores de Riscos Estratégicos Apoiar o Dono do Risco em suas atribuições e atividades;

Fornecer informações ao Dono do Risco para revisão técnica do risco, dos seus fatores, da criticidade do risco (impacto versus probabilidade) e da resposta, considerando alterações em ações mitigatórias existentes e propostas e plano de contingência;

Elaborar reportes sistemáticos para que o Dono do Risco apresente à Área de Gerenciamento de Riscos e Controle Interno e ao Comitê de Gerenciamento de Riscos, o acompanhamento do risco sob sua responsabilidade;

Subsidiar o Dono do Risco, para reporte à área de Gerenciamento de Risco, eventuais mudanças significativas na probabilidade e/ou impacto do risco ou em qualquer outra característica e, caso identifique, riscos não mapeados;

Participar das reuniões periódicas promovidas pela área de Gerenciamento de Riscos e Controles Internos;

Atuar junto ao Dono do Risco, na implementação das ações necessárias para mitigação dos riscos, garantindo o envolvimento e as adequadas entregas das áreas intervenientes;

Acompanhar e reportar ao Dono do Risco, para sua validação, os resultados e as análises críticas dos indicadores de riscos, das ações mitigatórias, bem como a atualização do impacto financeiro, conforme calendário pré-determinado pela área de Gerenciamento de Riscos. 10.8 Gestores de Processos Atuar, em conjunto com os Donos do Riscos e/ou Facilitadores dos riscos estratégicos priorizados, na implementação das ações necessárias para mitigação desses riscos, garantindo seu envolvimento e as adequadas entregas na condição de área interveniente;

Designar o agente de controle interno, considerando a competência e o perfil adequados para o desempenho da atribuição; Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 12 de 14 Dar suporte e condições para a execução da avaliação dos sistemas de controles internos referentes aos processos sob sua reponsabilidade;

Validar as matrizes de riscos, controles internos e o plano de tratamento gerados na avaliação dos sistemas de controles internos;

Implementar planos de tratamento para mitigação dos riscos inseridos nos processos sob sua responsabilidade, sempre respeitando os níveis de competência e empregando medidas proporcionais ao risco, observando a relação custo- benefício de forma a agregar valor à Companhia;

Comunicar área de gerenciamento de riscos e controles internos quando da alteração de legislação ou procedimentos, no processo em que está inserido, visando ação corporativa. 10.9 Focal de Controle Interno Atuar junto aos gestores dos processos, mediante suporte da área de Gerenciamento de Riscos e Controles Internos, na execução da avaliação dos sistemas de controles internos;

Alinhar as demandas estratégicas, pertinentes à sua diretoria, às atividades operacionais de controles internos na empresa, a partir do treinamento recebido sobre a metodologia a ser aplicada;

Participar das reuniões periódicas promovidas pela Área de Gerenciamento de Riscos e Controles Internos. 10.10 Agente de Controle Interno Apoiar o gestor do processo em suas atribuições e responsabilidades, reportando fatos relevantes referente as atividades de controles internos;

Implantar ou atualizar os controles internos e documentos normativos (inclusive fluxograma), quando da alteração de legislação ou procedimentos, no processo em que está inserido, mitigando os riscos e garantindo o Compliance;

Acompanhar e reportar ao gestor, para sua validação, os resultados e as análises críticas para subsidiar o monitoramento dos planos de ações de controles internos;

Participar, quando necessário, de reuniões promovidas pela área de Gerenciamento de Riscos e Controles Internos. 11 RESPONSABILIZAÇÕES A não aderência às responsabilidades dispostas na presente Política devem ser examinadas pela área de gerenciamento de riscos e encaminhadas para avaliação do Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 13 de 14 Comitê de Gerenciamento de Risco, o qual submeterá à Diretoria Executiva para as providências a serem adotadas para fins de apuração de responsabilizações. 12 DISPOSIÇÕES FINAIS O disposto acima se aplica, imediatamente, para toda a Companhia, após a publicação do presente Política. 13 REFERÊNCIAS COSO. Committee of Sponsoring Organizations of the Treadway Commission. Internal Control - Integrated Framework. New York: AICPA, 1992. COSO. Committee of Sponsoring Organizations of the Treadway Commission - Internal Control - Integrated Framework. 2013. CVM. Instrução Comissão de Valores Mobiliários 552 de 2014. CVM. Instrução da Comissão de Valores Mobiliários 586 de 2017. BRASIL. Presidência da República. Lei nº 13.303, de 30 de junho de 2016, dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios. Brasília DOU de 1º.7.2016. IIA. The IIA Research Foundation. IIA DOCUMENTO DE EXPOSIÇÃO Três Linhas de Defesa, 2019. Disponível no site > https: //global.theiia.org/translations/PublicDocuments /3LOD-IIA-Exposure-Document-Portuguese.pdf>Acesso em 23 de julho de 2020. Guide to the CICS Common Body of Knowledge (CBOK). Internal Control Institute, Edition III, v.1. 2017. 14 HISTÓRICO Versão 3ª Política de Gerenciamento Área Gestora Gerência de Governança, de Riscos Estratégicos e de Riscos e Compliance Controle Interno Corporativo Sigilo Público Externo Versão Data Responsável Aprovador Descrição da Alteração Gerência de Controle Conselho de 1ª 07/11/2017 Interno e Auditoria - Emissão Inicial Administração GCIA Gerência de Conselho de Inclusão da referência: Política 2ª 07/05/2019 Governança, Riscos e de Controle Interno Administração Compliance - GGRC Corporativo Diretoria Adjunta de Conselho de Alteração de estrutura e 3ª 23/07/2020 Governança Riscos e inclusão do tópico referente ao Administração Compliance - DAGRC apetite a risco Política de Gerenciamento de Riscos Estratégicos e Controles Internos - Pag. 14 de 14 Attachments Original document

