OI S.A. DRAFT PARA REVISÃO 1.0 (28/01/18)
Política
Gestão de Riscos
ERM Oi
Diretrizes e Metodologia
Política de Gestão de Riscos 2 | |
Índice | |
x
Política de Gestão de Riscos 3
Objetivo
Estabelecer diretrizes para o desenvolvimento e disseminação de uma cultura e modelo de gestão baseados em risco, e um conjunto de regras para implementação e manutenção de um processo estruturado e contínuo de gerenciamento de riscos corporativos.
Abrangência
Esta Política é aplicável a todas as áreas da Oi e empresas do Grupo, mas poderão haver ajustes para adequar métricas (critérios de medição de impacto e probabilidade) mais apropriadas e proporcionais à realidade de cada área ou empresa e que atendam a requisitos específicos de dados processos, sempre respeitando os limites determinados nesta Política.
Referências
ISO 31000 2018 (Risk Management Guidelines):
Principal referência internacional para gestão de riscos, a nova versão foi lançada em março de 2018 e traz nessa revisão os processos de gestão de riscos mais próximos dos níveis estratégicos do ambiente de negócios.
COSO ERM 2017 (Gerenciamento de Riscos - Integrado com Estratégia e Performance):
Em sua nova versão (2017), atualizou o framework para gestão de riscos corporativos, conectando esta aos processos relacionados a tomadas de decisão, desdobramento e execução da estratégia corporativa.
Caderno 19 de Governança Corporativa IBGC 2017 (Gestão de Riscos Corporativos):
Assim como as demais literaturas, passou por uma revisão recente, sugerindo papéis e responsabilidades aos processos de gestão de riscos considerando o âmbito estratégico e tático das organizações.
Disposições Gerais
A função de Gestão de Riscos é um processo cíclico e dinâmico que identifica, avalia, monitora e responde aos riscos que possam comprometer o atingimento dos objetivos estratégicos da Companhia ou causar impactos significativos ao seu negócio.
Este processo permite que responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes relacionadas aos riscos aos quais estão expostos, de forma a suportar
x
Política de Gestão de Riscos 4
decisões e definição de estratégias que aumentem a probabilidade de alcance dos objetivos e minimizem riscos a níveis aceitáveis.
Trata-se de uma abordagem preventiva que visa criar meios para gerenciar e manter os riscos sob controle (dentro do apetite estabelecido) de maneira a se antecipar a eventuais incidentes ou crises.
Há duas visões distintas e complementares de gestão de riscos: Visão Corporativa e Visão Transacional.
A Visão Corporativa gerencia riscos que afetam a companhia como um todo e estão diretamente relacionados aos objetivos estratégicos da Organização e a continuidade do negócio.
A Visão Transacional (camada operacional) gerencia riscos relacionados aos processos, sistemas, contratos e unidades de negócios da Companhia, considerando o impacto específico em cada área. Este tipo de risco detalha e complementa os riscos corporativos estando a eles associados como fatores de risco, conforme ilustrado abaixo:
Fonte: EY (Ernst Young)
Alinhamento Estratégico e Modelo Integrado
O gerenciamento de riscos é parte integrante do processo de elaboração dos objetivos estratégicos e está diretamente alinhado com estes objetivos, estabelecendo um ciclo integrado e virtuoso de retroalimentação entre as linhas de defesa da Companhia para uma cobertura mais ampla dos fatores de riscos internos e externos diante dos resultados esperados.
A estrutura de gestão de riscos apoia a integração da governança, em todos os níveis, atividades e funções significativas, englobando as mais diversas áreas e especialidades, atuando com sinergia para proteger o negócio e suportar a liderança no monitoramento e adequação tempestiva de sua estratégia frente as eventuais alterações no ambiente de riscos.
x
Política de Gestão de Riscos 5
Fonte: EY (Ernst Young)
Papéis e Responsabilidades
O gerenciamento de riscos não é um evento isolado de responsabilidade de uma única área, mas faz parte de um processo dentro da estrutura da Companhia e, por isso, requer o engajamento de áreas distintas, devendo ser realizado em todos os níveis (estratégico, tático e operacional). Abaixo listamos papéis e responsabilidades dos principais agentes do processo de gestão de riscos na Oi.
CONSELHO DE ADMINISTRAÇÃO (CA)
- Estabelecer valores, princípios e conduta requerida da Administração na Gestão de Riscos ("Tone at the Top");
- Aprovar a Política de Gestão de Riscos, definir o Apetite ao Risco da Companhia e as diretrizes estratégicas que devem ser seguidas;
- Avaliar periodicamente a exposição da Companhia a riscos e a eficácia dos sistemas de gerenciamento de riscos, dos controles internos e do sistema de integridade/conformidade.
COMITÊ DE AUDITORIA, RISCOS E CONTROLES (CARC)
- Supervisionar o sistema de gerenciamento de riscos, monitorar as exposições a risco da Companhia e, nesse âmbito, requerer as informações necessárias para subsidiar a avaliação dessa exposição e da efetividade das atividades mitigatórias relacionadas;
- Suportar o Conselho de Administração em assuntos relativos a avaliações de risco dos negócios e dos mecanismos internos de controle;
- Avaliar a efetividade e zelar pela independência e adequação dos recursos (humanos, tecnológicos e financeiros) alocados ao processo e sistema de gerenciamento de riscos;
- Avaliar em conjunto com a Diretoria, ao menos anualmente, as políticas e procedimentos com relação à avaliação e gerenciamento dos riscos.
CONSELHO FISCAL (CF)
- Conhecer os riscos da Companhia e definir/dialogar com os agentes integrantes do processo de gestão de riscos sobre os tipos, formatos e periodicidade da informação de que necessita para cumprir seu dever de fiscalização buscando reunir dados para subsidiar a formação de sua opinião sobre os atos de gestão;
x
Política de Gestão de Riscos 6
DIRETOR PRESIDENTE (CEO)
- Responsável final pela Gestão dos Riscos, deve zelar pela governança e bom funcionamento da função de gestão de riscos da Companhia, provendo os recursos necessários para assegurar sua efetividade, fornecendo liderança e direcionamento estratégico, bem como apoiando sua execução e considerando seus insumos no processo decisório.
COMITÊ DE GESTÃO (CdG) E REDIR (REUNIÃO DE DIRETORIA)
Compostos pelos principais executivos da Alta Administração (Diretores N1), incluindo os diretores estatutários (REDIR), exercem a função de Comitês Executivos de Riscos. Suas principais atribuições são:
- Validar e monitorar a execução das políticas e o cumprimento das normas de gestão de riscos, fazer o acompanhamento dos resultados de indicadores-chave e dos maiores riscos da Companhia, orientando quando houver a necessidade de tomada de decisão.
SUBCOMITÊ EXECUTIVO DE RISCOS
Composto por executivos de áreas chaves (especialistas) para gestão de riscos (Compliance, Contabilidade, Controladoria, Tesouraria, Regulatório, Jurídico, M&A/Estratégia e Operações/TI), suas atribuições são:
- Suportar o CdG e a REDIR nas discussões técnicas e entendimento dos riscos e indicadores associados, auxiliando no processo decisório e na elaboração de propostas e planos de mitigação.
DIRETOR DE COMPLIANCE
Na atual estrutura organizacional da companhia o Diretor de Compliance exerce também a função de Diretor de Riscos (CRO - Chief Risk Officer), e apesar do reporte funcional ao Diretor de Finanças (CFO - Chief Financial Officer) a independência é garantida pelo reporte ao CA, CARC e Conselho Fiscal. Entre suas principais atribuições estão:
- Disseminar a cultura e promover a integração da gestão de riscos na Companhia;
- Participar do planejamento estratégico sob a ótica do gerenciamento de riscos;
- Liderar a implantação de um modelo eficiente de gestão de riscos, incluindo metodologia, processos e sistemas de gerenciamento de riscos;
- Avaliar de forma o nível de exposição aos riscos e grau de maturidade e efetividade da Gestão de Riscos da Companhia, bem como colaborar na discussão sobre o Apetite ao Risco;
- Acompanhar as mudanças da criticidade dos Riscos Corporativos, bem como da efetividade dos planos de ação de mitigação de risco, remediações de gaps e tratamento de causa-raiz e efeitos;
- Efetuar reporte ao CdG, REDIR, CARC e CA acerca da Gestão dos Riscos Corporativos Prioritários.
GERÊNCIA DE GESTÃO DE RISCOS
- Responsável pela base consolidada de riscos da Companhia, implementação e manutenção da política de gestão de riscos;
- Atuar como um integrador e facilitador das unidades de negócio nos assuntos de gestão de risco;
- Estabelecer e manter atualizada a documentação, informações e metodologia de Gestão de Riscos, assim como padrões e mecanismos de controle associados;
- Elaborar, revisar e manter atualizada a Régua de Probabilidade e Impacto;
x
Política de Gestão de Riscos 7
- Acompanhar, analisar e reportar sobre mudanças na criticidade dos Riscos;
- Suportar e monitorar o processo de identificação e avaliação dos Riscos da Companhia;
- Apoiar o Risk Owner na gestão, controle e definição do plano de resposta aos Riscos;
- Criar e monitorar indicadores e níveis de exposição dos Riscos (KRI - Key Risk Indicator);
- Atualizar e revisar o mapeamento de Riscos junto aos Executivos da Companhia sempre que houver atualizações no planejamento estratégico da Companhia ou sempre que fatos relevantes ocorrerem.
RISK OWNERS (DONOS DO RISCO)
São os diretores e demais executivos responsáveis imediatos pelos riscos, entre suas principais responsabilidades estão:
- Avaliar e validar os Riscos Corporativos sob sua responsabilidade;
- Gerenciar estes riscos e acompanhar tempestivamente os resultados dos indicadores atrelados;
- Implantar ações necessárias para a mitigação dos riscos juntamente com as demais áreas envolvidas;
- Informar à área de Gestão de Riscos Corporativos as mudanças na Probabilidade e/ou Impacto do Risco ou sobre qualquer alteração na característica do mesmo;
- Informar à área de Gestão de Riscos Corporativos ao identificar Riscos não mapeados e tratados.
- Preencher e manter atualizados formulários e ferramentas de gestão de riscos.
Processo de Gestão de Riscos
A Gestão de Riscos é um processo estruturado e segue as etapas demonstradas a seguir:
Cenário (Contexto e Escopo)
Nesta primeira etapa é realizado um levantamento de informações e estudo do contexto externo (ambiente financeiro, econômico, regulatório, socioambiental e relações com os stakeholders) e contexto interno (governança, estrutura organizacional, estratégia, processos, sistemas, contratos, relatórios de auditoria e outras avaliações disponíveis) para definição de escopo, isto é, atividades e temas críticos que serão objeto de mapeamento, chegando assim aos cenários de risco a serem melhor avaliados.
x
Política de Gestão de Riscos 8
Apetite ao Risco
O Apetite ao Risco é uma declaração do mais alto nível da Organização (Conselho de Administração) sobre o quanto a companhia está disposta a aceitar de riscos para atingimento de seus objetivos. Composto pelos níveis de risco "Desejável, Alerta e Intolerável", ele estabelece os limites dentro dos quais o Conselho espera que a Administração opere, e determina parâmetros para análise dos riscos, bem como serve de base para priorização e decisão do tratamento (resposta) adequado.
O Heat Map acima estabelece a classificação do risco com base em uma análise (real ou estimada) de probabilidade (chance de materialização) e impacto (em R$MM) que será melhor detalhada no tópico a seguir. Ao lado dele o Apetite define o limite de tolerância aos riscos como sendo inaceitáveis casos com nível de exposição ao risco "Alto" e "Significativo".
Além dos aspectos quantitativos resultantes da análise de impacto e probabilidade, também são considerados no Apetite parâmetros qualitativos como julgamento profissional e as seguintes assertivas:
- A Oi não tolera a falta de conformidade e/ou má conduta de executivos, colaboradores ou terceiros com leis, regras e regulações aplicáveis;
- A Oi não tolera negligências operacionais que afetem os níveis de serviços dos seus clientes;
- A Oi não tolera desperdício de recursos e atos que possam causar dano ao seu patrimônio, de terceiros, ao patrimônio público ou ao meio ambiente;
- A Oi não tolera exposição negativa de sua marca que possa afetar sua imagem, reputação, atividades do negócio e partes interessadas.
x
Política de Gestão de Riscos 9
Identificação de Riscos
Com base no resultado do cenário de risco são identificados, dentro do escopo determinado acima, quais riscos podem ajudar ou impedir a Oi no alcance de seus objetivos.
Para encontrar, reconhecer e descrever os riscos, a Oi utiliza entrevistas com executivos e conselheiros, coleta de dados, análise de evidências, documentos, pesquisas e validações junto as áreas técnicas envolvidas. Como resultado haverá uma lista de riscos associada ao escopo e ao cenário definido.
Categorização dos Riscos
Para fins de categorização, os Riscos Corporativos na Oi devem ser divididos da seguinte forma:
x
Política de Gestão de Riscos 10
Avaliação do Risco
Análise (Impacto e Probabilidade)
A análise de riscos deve determinar o Nível de Exposição ao Risco (Alto, Significativo, Moderado ou Baixo) já considerando controles e iniciativas implementadas (risco residual real).
Este Nível de Exposição ao Risco é apurado através da avaliação conjunta de critérios de probabilidade (histórico de ocorrência ou projeção estimada da possível materialização dos fatores de risco) e impacto (percepção sobre as consequências derivadas da ocorrência do risco).
Para análise da probabilidade de materialização do risco são utilizados dois critérios:
1. Frequência - risco com registro de materialização e histórico de ocorrências.
Escala | Frequência |
Quase Certo (5) | < 1 mês |
Provável (4) | > 1 mês ≤ 1 ano |
Possível (3) | > 1 ano ≤ 3 anos |
Raro (2) | > 3 anos ≤ 5 anos |
Improvável (1) | > 5 anos |
2. Projeções - risco sem registro de materialização e que devem ser estimados.
Escala | Projeção |
Quase Certo (5) | > 80,01% |
Provável (4) | > 50% ≤ 80% |
Possível (3) | > 20% ≤ 50% |
Raro (2) | > 5% ≤ 20% |
Improvável (1) | < 5% |
Vale ressaltar que os parâmetros de frequência e projeção acima são réguas iniciais que serão melhor analisadas em conjunto pelo Risk Owner e área de Compliance no momento da avaliação dos riscos, estando sujeitos a adequação para melhor enquadramento da probabilidade real ou estimada aplicável a cada caso.
Para análise de impacto leva-se em consideração os parâmetros detalhados abaixo, sendo o resultado final a maior pontuação obtida na análise dos vetores Financeiro, Compliance, Operações e Imagem.
x
Política de Gestão de Riscos | 11 | |||||||
VETOR PRINCIPAL | VETORES AUXILIARES | |||||||
ESCALA | ||||||||
FINANCEIRO | COMPLIANCE | OPERAÇÕES | IMAGEM | |||||
(E BIT DA ) | (Legal, Regulatório e Integridade) | (Telecom e TI) | (Reputação e Credibilidade) | |||||
•Decisões judiciais ou administrativas resultando | •Visibilidade negativa massiva em canais | |||||||
em grandes penalizações, multas ou proibição da | institucionais e/ou pessoais, mídia online e/ou | |||||||
prestação de serviços; e elevada necessidade de | offline, local e/ou regional, nacional e/ou | |||||||
provisionamento de despesas, garantias ou | •Paralisação da empresa como um todo e/ou | internacional (variação acima de 50% do volume | ||||||
desembolso de caixa; | de menções à companhia); | |||||||
perda crítica de capacidade de gerenciamento | ||||||||
•Perda de receita decorrente de restrições ou | das operações, redes e sistemas da organização; | •Mais de 96 horas (4 dias) de exposição negativa | ||||||
remoção de capacidade/licença para operar, | •Redução nos níveis de serviço maiores que 10% | e massiva sem visibilidade para o posicionamento | ||||||
CATASTRÓFICO | Maior que R$300MM | intervenção regulatória significativa e | das metas ou novos produtos/promoções | da companhia; | ||||
(5) | (Acima de 5% do | impedimento de participação em licitações; | atrasados por anos. | |||||
EBITDA) | •Potencial alto de mobilização massiva, | |||||||
•Redução de notas de crédito, perda de | •Comprovado vazamento em grande escala de | envolvendo danos a vidas, denúncias com risco | ||||||
investimento, prisão de membros da | de sanções, falhas operacionais de larga escala | |||||||
informações próprias (financeiras, estratégicas, | ||||||||
Administração ou Conselho, corrupção, fraude, | e/ou outros temas críticos; | |||||||
staff ou board) ou de terceiros (clientes, | ||||||||
danos socioambientais; | ||||||||
fornecedores e parceiros); | ||||||||
•Aumento exponencial das reclamações (acima | ||||||||
•Deficiências materiais nos controles internos. | de 50%) e perda de clientes (acima de 5% da | |||||||
base) com possível movimento público de boicote | ||||||||
à companhia. | ||||||||
•Processos de larga abrangência que possam | •Visibilidade negativa expressiva em canais | |||||||
culminar na imposição de sanções e penalidades | institucionais e/ou pessoais, mídia online e/ou | |||||||
de órgãos fiscalizadores, regulatórios, | •Interrupções significativas nas operações da | offline, local e/ou regional, nacional e/ou | ||||||
organizações intergovernamentais, associações | internacional (variação de 25% a 50% do volume | |||||||
empresa e/ou alta perda de capacidade de | ||||||||
profissionais e institutos amplamente | de menções à companhia); | |||||||
gerenciamento das operações, redes e sistemas | ||||||||
reconhecidos; | ||||||||
da organização, | ||||||||
•Mais de 72 horas (3 dias) de exposição negativa | ||||||||
CRÍTICO | Até R$300MM | •Restrições parciais sobre a capacidade de | •Redução nos níveis de serviço em até 10% das | e expressiva sem visibilidade para o | ||||
operar e algum nível de intervenção regulatória; | posicionamento da companhia; | |||||||
(4) | (5% do EBITDA) | metas ou novos produtos/promoções atrasados | ||||||
•Pontos de atenção Legal/Regulatória com início | por meses; | •Potencial significativo de mobilização massiva, | ||||||
de vigência no curto prazo, e necessidade de | •Vazamento parcial de informações próprias | envolvendo danos a vidas, denúncias com risco | ||||||
projetos estruturantes de elevado CAPEX; | de sanções, falhas operacionais de larga escala | |||||||
(financeiras, estratégicas, staff ou board) ou de | ||||||||
e/ou outros temas críticos; | ||||||||
terceiros (clientes, fornecedores e parceiros); | ||||||||
•Deficiências significativas nos controles | ||||||||
internos. | •Aumento significativo das reclamações (20% a | |||||||
50%) e perdas de clientes (3% a 5%). | ||||||||
•Visibilidade negativa de médio alcance em | ||||||||
•Não conformidades ou desvios de conduta | •Interrupções moderadas nas atividades da | canais institucionais e/ou institucionais, mídia | ||||||
online e/ou offline, local e/ou regional, nacional | ||||||||
aplicadas por órgãos externos, com necessidade | empresa e/ou perda moderada da capacidade de | |||||||
de estabelecer provisão de multas/indenizações | gerenciamento das operações, redes e sistemas | e/ou interncional (variação de 10% a 25% do | ||||||
volume de menções à companhia); | ||||||||
ou ajustamento de conduta, mas passível de | da organização; | |||||||
remediação; | •Mais de 36 horas de exposição negativa sem | |||||||
SEVERO | Até R$120MM | •Redução nos níveis de serviço de até 5% das | ||||||
visibilidade para o posicionamento da companhia; | ||||||||
(3) | (2% do EBITDA) | •Pontos de atenção Legal/Regulatória de início | metas ou novos produtos/promoções atrasados | |||||
de vigência no médio prazo, e necessidade de | por semanas; | •Potencial moderado de mobilização massiva, | ||||||
correções internas (com custos adicionais) para | ||||||||
envolvendo denúncias refutadas pela companhia, | ||||||||
adequação; | •Suspeita de vazamento de informações próprias | |||||||
(financeiras, estratégicas, staff ou board) ou de | falhas operacionais e/ou outros temas críticos; | |||||||
•Efetiva deficiência nos controles internos. | terceiros (clientes, fornecedores e parceiros); | •Aumento considerável das reclamações (5% a | ||||||
20%) e perda de clientes (1% a 3% da base). | ||||||||
•Não conformidades ou desvios de conduta em | •Interrupções restritas nas atividades da empresa | •Visibilidade negativa de pouco alcance em | ||||||
canais institucionais e/ou pessoais, mídia online | ||||||||
apuração por órgãos externos com potencial | e/ou baixa perda de capacidade de | e/ou offline, local e/ou regional, nacional e/ou | ||||||
aplicação de multas/indenizações, mas sem | gerenciamento das operações, redes e sistemas | |||||||
internacional (variação de 2% a 10% do volume de | ||||||||
necessidade de provisionamento. | da organização; | |||||||
menções à companhia); | ||||||||
RELEVANTE | Até R$60MM | •Pontos de atenção Legal/Regulatória de início | •Redução nos níveis de serviço menores que 5% | •Mais de 12h de exposição negativa sem | ||||
(2) | (1% do EBITDA) | de vigência no longo prazo, e necessidade de | das metas ou novos produtos/promoções | visibilidade para o posicionamento da companhia; | ||||
pequenas correções internas (sem custos | atrasados por dias; | |||||||
adicionais) para adequação; | •Potencial baixo de mobilização massiva; | |||||||
•Potencial vazamento de informações próprias | ||||||||
•Potencial conflito de interesses ou | (financeiras, estratégicas, staff ou board) ou de | • Aumento das reclamações (até 5%) e perda de | ||||||
vulnerabilidades nos controles internos. | terceiros (clientes, fornecedores e parceiros); | |||||||
clientes (abaixo de 1% da base). | ||||||||
•Interrupções limitadas em áreas ou | •Visibilidade negativa pontual em canais | |||||||
departamentos específicos da empresa, sem | institucionais e/ou pessoais, mídia online e/ou | |||||||
comprometimento da continuidade das | offline, local e/ou regional, nacional e/ou | |||||||
atividades; | internacional (variação de até 1% do volume de | |||||||
•Não conformidades ou desvios de conduta de | menções à companhia); | |||||||
BRANDO | Até R$30MM | baixo impacto (remediáveis) aplicadas por áreas | •Redução nos níveis de serviço menores que 2% | |||||
internas resultando em advertências, ações | das metas ou novos produtos/promoções | •Exposição negativa sem recorrência | ||||||
(1) | (0,5% do EBITDA) | |||||||
preventivas e implementação de pequenas | atrasados por horas]. | significativa; | ||||||
melhorias. | ||||||||
•Vazamento interno (remediável) de informações | •Sem potencial de mobilização massiva; | |||||||
próprias (financeiras, estratégicas, staff ou board) | ||||||||
ou de terceiros (clientes, fornecedores e | •Sem variação no volume de reclamações ou | |||||||
parceiros); | perda de clientes. | |||||||
x
Política de Gestão de Riscos 12
O cálculo se dá pela atribuição de ratings de avaliação a serem preenchidos na Matriz de Riscos (de 1 a 5) que associados a fatores ponderados (pesos) são multiplicados e resultam em um coeficiente que posiciona o risco no Heat Map, conforme ilustrado abaixo.
A utilização de pesos por escala visa assegurar destaque aos casos de maior probabilidade e impacto.
Priorização e Linhas de Reporte
Concluída a análise e obtida a classificação do risco, bem como verificado se o mesmo está ou não aderente ao Apetite estabelecido, ele é enquadrado em uma matriz de priorização através da qual é definida a estratégia de mitigação mais adequada (ações imediatas ou programadas a curto, médio e longo prazo) e as linhas de reporte para acompanhamento.
x
Política de Gestão de Riscos 13
- Quadrante I - Risco Inaceitável: São riscos acima do Apetite ao Risco e demandam ação gerencial prioritária para eliminar a componente de risco ou reduzir seu impacto e/ou frequência;
- Quadrante II - Risco Inesperado: São riscos com alto impacto e baixa probabilidade. Estes riscos devem ser quantificados e monitorados regularmente para direcionar continuamente as estratégias de mitigação e/ou planos de contingência. O objetivo é estar preparado caso o evento venha a acontecer;
- Quadrante III - Risco Provável: Riscos de menor criticidade devido ao menor nível de impacto no valor do negócio, porém a elevada frequência requer atividades de específicas e atenção da gerência na manutenção de respostas e controles para manter o impacto global em nível baixo, ou reduzi-lo sem custos adicionais;
- Quadrante IV - Risco Aceitável: Riscos de baixo impacto e frequência, gerenciados no curso das atividades das áreas de negócio, porém não havendo necessidade de monitoramento contínuo.
A Oi definiu também níveis de priorização para reporte de acordo com o resultado da análise e avaliação dos riscos:
- Riscos Corporativos "Tier 1" - Compreendem os riscos mais estratégicos da Companhia. Trata-se de grupo de riscos com potencial impacto no resultado e continuidade dos negócios (requer atenção da Alta Administração e Conselho);
- Riscos Corporativos "Tier 2" - Derivados dos Riscos Corporativos de 1º nível ou com impacto significativo no resultado e continuidade dos negócios (requer a atenção da diretoria executiva);
Riscos Corporativos "Tier 3" - Derivados dos Riscos Corporativos de 2º nível ou com impacto de baixo a moderado no resultado e continuidade dos negócios (requer a atenção dos gestores imediatos responsáveis pelos riscos).
- importante destacar que trata-se de uma classificação dinâmica, isto é, que pode se alterar conforme o resultado do monitoramento dos níveis de risco relacionados, e que quaisquer riscos que ameacem ultrapassar o Apetite estabelecido ou cujo acompanhamento seja requisitado pela Alta Administração e Conselho, serão objeto de reporte independente do tier a que estiver associado.
x
Política de Gestão de Riscos 14
Tratamento e Resposta aos Riscos
As Áreas de Negócio devem desenvolver ações preventivas e corretivas para responder de forma apropriada, efetiva e mitigar os riscos da Companhia, para isso é necessário:
- Definir o Dono do Risco - O Dono do Risco corporativo deve ser o executivo diretamente ligado e principal responsável pelo risco;
- Definir o tipo de resposta ao Risco - Uma estratégia de definição de resposta ao risco deve contemplar as respostas a seguir:
(B.1) Aceitar - Esta estratégia é adotada quando não é possível ou prático responder ao risco utilizando as outras estratégias. Quando a Alta Administração decide por aceitar o risco, significa que estão concordando em enfrentar o risco, se e quando ele ocorrer. Um plano de contingência emergencial ou plano de solução paliativo devem ser desenvolvidos para essa eventualidade.
Via de regra são definidas ações para tratar todos os riscos identificados, ou cuja avaliação final ficou abaixo do risco residual esperado. Excepcionalmente, de forma fundamentada e conforme governança e alçada competente estabelecida no Regulamento de Riscos Corporativos (REG-881), é aprovado um TAR (Termo de Aceitação ao Risco). Trata-se de um "de acordo" dos diretores responsáveis (N1 e N2 envolvidos) formalizando que não haverá uma ação/iniciativa em função, por exemplo, de inviabilidade técnica ou financeira, custo x benefício da solução entre outros fatores.
Vale ressaltar que não se aplica TAR para casos com nível de exposição ao risco acima do Apetite ao Risco da Companhia ou apontados por Auditorias como Material Weakness (MW) e Significant Deficiency (SD). Além disto, todo TAR é reportado e submetido à apreciação do CARC.
(B.2) Compartilhar/Transferir - Envolve encontrar outra parte que esteja disposta a assumir a responsabilidade e arcar com os impactos do risco, caso ocorra (ex: seguros, títulos e garantias).
(B.3) Evitar - O risco pode ser evitado através da remoção da causa do risco ou ao executar a operação de uma forma diferente, porém ainda assim em linha com o alcance dos objetivos da empresa. Nem todos os riscos podem ser evitados/eliminados, e esta abordagem pode ser onerosa.
(B.4) Reduzir - A mitigação de riscos reduz a probabilidade e/ou o impacto de um evento de risco adverso para um limite aceitável (risco residual esperado) por meio da implantação de controles e iniciativas.
Nesta fase deve-se selecionar e implementar as melhores opções de resposta ao risco, avaliar a eficácia desta resposta, decidir se o risco remanescente é aceitável e, se for aplicável, realizar tratamentos adicionais. Deve- se balancear benefícios, custos, esforços, vantagens e desvantagens da implementação. Sendo possível:
- Realizar análises adicionais para melhor compreensão do risco;
- Aprimorar os controles e iniciativas existentes, e avaliar a necessidade de novas implementações;
- Contratação de seguro para compartilhamento do riscos e retenção monitorada;
Para maior detalhamento dos mecanismos de resposta ao risco (controles e iniciativas) vide o Regulamento de Controles Internos (REG-895).
x
Política de Gestão de Riscos 15
Monitoramento Contínuo
A Oi realiza monitoramento e análise crítica permanente do seu ambiente de riscos e controles associados, incluindo testes e acompanhamento de indicadores (KRI - Key Risk Indicator) para medir a eficácia da mitigação e aderência ao Apetite e tolerância estabelecidos. O monitoramento pode ser realizado por meio de atividades contínuas, avaliações independentes (auditorias internas e externas) e auto avaliações.
Registro e Relato
Todas as etapas do processo de gestão de riscos devem ser registradas e ter sua documentação suporte e evidências armazenadas no sistema iBPMS, resultando em uma Matriz de Riscos e Controles por área, com informações disponíveis a qualquer tempo para suportar a tomada decisão, melhorar as atividades de gestão e auxiliar na interação necessária para efetiva prevenção e mitigação dos riscos.
Apesar de haver um ciclo anual de revisão dos riscos ativos, e da identificação de novos riscos ou reavaliação dos existentes poder ocorrer tempestivamente (por evento), em regra os mesmos serão reportados
mensalmente no Subcomitê, bimestralmente para CdG, REDIR e CARC, e semestralmente para o CA,
podendo haver reporte em menor frequência caso necessário.
Este reporte será realizado através de um dashboard com a relação dos principais riscos e suas interdependências, status da implementação e efetividade de controles para mitigação, bem como eventuais alterações de cenário e atualização dos níveis de exposição.
Obs. Imagem meramente ilustrativa do modelo utilizado.
Responsabilização (Accountability)
As sanções pelo descumprimento desta Política, incluindo a não observância ao Apetite estabelecido, seguirão o regime disciplinar da Diretoria de Gente, podendo ser executadas por meio de advertência verbal, escrita, suspensão ou rescisão do contrato de trabalho, sem prejuízo de eventual abertura do processo judicial. Também poderão ser impactadas notas individuais (metas) do programa de bônus, na avaliação discricionária dos executivos envolvidos em eventual descumprimento ou negligência no gerenciamento de riscos.
As infrações, quando identificadas, serão registradas e reportadas aos órgãos de governança competentes pelas Diretorias de Compliance ou Auditoria Interna, conforme aplicável.
Aprovação e Vigência
Este documento foi aprovado pelo Conselho de Administração em sua reunião ordinária de 12 de Julho de 2019, revoga versões anteriores e tem vigência de 12 meses, devendo ser revisado após este período.
x
Attachments
- Original document
- Permalink
Disclaimer
Oi SA em Recuperação Judicial published this content on 12 July 2020 and is solely responsible for the information contained therein. Distributed by Public, unedited and unaltered, on 05 August 2020 23:21:07 UTC
