Política de Gestão de Riscos

DCA 059/2018 Rev.: 02-27/09/2018 POL-0009-G PÚBLICO

Objetivo: Estabelecer diretrizes e orientações para a gestão integrada global dos riscos aos quais as
entidades do Sistema Vale estão expostas.

Aplicação:
 Esta Política se aplica à Vale e às suas controladas 100% e deverá ser reproduzida nas suas controladas diretas e
indiretas, sempre respeitando seus documentos constitutivos e a legislação aplicável. Sua adoção é estimulada nas
demais entidades nas quais a Vale tem participação societária. Esse conjunto de entidades, para efeitos dessa
Política, é denominado “Sistema Vale”.

Princípios e Diretrizes para a Gestão de Riscos:

 Apoiar o planejamento estratégico, o orçamento e a sustentabilidade dos negócios do Sistema Vale.
 Fortalecer a estrutura de capital e a gestão de ativos do Sistema Vale.
 Fortalecer as práticas de governança da Vale, baseadas no conceito de linhas de defesa.
 Gerir os riscos considerando os conceitos da ISO 31000 e do COSO-ERM.
 Mensurar e monitorar os riscos do Sistema Vale de forma consolidada, considerando-se os efeitos da diversificação,
quando aplicável, de seu conjunto de negócios.
 Avaliar o impacto de novos investimentos, aquisições e desinvestimentos no mapa e no apetite de riscos do
Sistema Vale.
 Adequar o apetite de risco do Sistema Vale às necessidades de seu plano de crescimento, do seu planejamento
estratégico e da continuidade dos seus negócios.

Conceito de Risco:
 Risco é o efeito da incerteza sobre os objetivos organizacionais, que se manifesta de muitas formas e com potencial
impacto sobre todos as dimensões dos negócios.

Mapa Integrado de Riscos:

 O Mapa Integrado de Riscos é o instrumento que contém os riscos que afetam a organização, sendo os mesmos
distribuídos em categorias, que incluem, mas não se limitam a estratégica, financeira, operacional, cibernética e
conformidade. O mapa serve como guia para avaliação da aplicabilidade dos riscos pelas diferentes áreas e
geografias.
 Periodicamente, no mínimo uma vez ao ano ou quando solicitado, os riscos devem ser avaliados pelo Conselho de
Administração da Vale, por recomendação da Diretoria Executiva, podendo ser mantidos, revisados, excluídos ou
acrescentados ao Mapa Integrado de Riscos.
 As tabelas de Severidade e de Probabilidade constantes do capítulo “Gestão de Riscos”, da Norma de
planejamento, Desenvolvimento e Gestão (NFN-0001), são ferramentas que auxiliam a avaliação dos eventos de
riscos e a priorização quanto ao seu tratamento e visam minimizar as subjetividades e padronizar as avaliações,
tornando-as comparáveis.
 Utiliza-se a tabela de Severidade para avaliar a severidade progressiva dos impactos, em diferentes dimensões que
incluem, mas não se limitam a Financeira, Social e Direitos Humanos, Reputacional, Meio Ambiente, Saúde
Ocupacional e Segurança.
 Utiliza-se a tabela de Probabilidade para estimar estatisticamente a probabilidade de ocorrência de um evento,
desde que possuam racionais passíveis de serem auditados. Nas demais situações será considerada a melhor
avaliação por parte do dono do evento de risco quanto à probabilidade de ocorrência.

- 1 de 3 -
Política de Gestão de Riscos

DCA 059/2018 Rev.: 02-27/09/2018 POL-0009-G PÚBLICO

 O cruzamento entre a severidade do impacto e a probabilidade permite a alocação de um evento na Matriz de
Riscos, que é o instrumento gráfico que propicia comparações, permitindo priorização para tratamento dos riscos.
 Adicionalmente será realizada a avaliação da efetividade dos controles (vulnerabilidade) relacionados a um evento
de risco, considerando-se os resultados de análises produzidas pelas linhas de defesa, tais como, mas não se
limitando a: peer assessment, assessment pela 2ª linha de defesa, pontos de auditoria interna, recomendações de
auditoria externa, de consultorias, de seguradoras ou de órgãos reguladores, quando a relevância do risco justificar
sua aplicação.

Apetite de Riscos:
 O apetite de riscos representa a quantidade e o tipo de risco que a organização está disposta a aceitar em sua
busca por valor. Em alinhamento com o apetite, devem ser definidas respostas, que podem ser: aceitar, mitigar,
transferir ou rejeitar um risco.
 Aceitar: quando nenhuma outra ação é tomada para interferir na sua gravidade e o perfil de risco permanece o
mesmo. Essa resposta é apropriada quando o nível de exposição ao risco correspondente está dentro dos limites de
tolerância da organização.
 Mitigar: quando são tomadas medidas para reduzir sua gravidade. A intenção da resposta ao risco é alterar seus
níveis de impacto e de probabilidade, para que permaneçam dentro do apetite de risco definido pela organização.
 Transferir: quando são tomadas medidas para reduzir sua gravidade, através da transferência ou
compartilhamento, total ou parcial, das incertezas. As técnicas mais comuns incluem a terceirização para
provedores de serviços especializados, a compra de produtos de seguro e transações de hedge.
 Rejeitar: quando são tomadas medidas para removê-lo, o que pode significar, por exemplo, o encerramento de
uma linha de negócios, a não expansão para um novo mercado geográfico ou a venda de um ativo produtivo.
 Cabe ao Conselho de Administração da Vale aprovar o apetite de riscos da organização, por proposta da Diretoria
Executiva da Vale, garantindo que os riscos estejam integrados ao Planejamento Estratégico e refletidos nas
decisões orçamentárias. A estratégia de exposição a riscos deve ser revisada anualmente.

Estrutura de Governança de Riscos:

 A Vale possui um fluxo integrado de Governança de Riscos, que representa como são realizadas reavaliações
periódicas para garantir o alinhamento entre as decisões estratégicas, performance e definição do apetite de risco
pelo Conselho de Administração.

1ª linha de defesa
 É formada pelos donos dos riscos e pelos executores dos processos das áreas de negócio, de projetos, de suporte e
administrativas. São responsáveis diretos por identificar, avaliar, tratar, monitorar e gerenciar seus eventos de
riscos de forma integrada. Devem manter os riscos dentro do apetite definido, implementar e executar controles
efetivos de prevenção e de mitigação, garantir adequada definição e execução dos planos de ação e estabelecer
ações corretivas para a melhoria contínua da gestão de riscos.
 Deve avaliar continuamente a aplicabilidade dos riscos do Mapa Integrado de Riscos às atividades e geografias sob
sua responsabilidade.
 Deve antecipar à Diretoria Executiva e ao Conselho de Administração os potenciais impactos que estejam na
iminência de ocorrer, seguindo-se a governança vigente para endereçar o tratamento dos riscos mapeados, bem
como apresentar os riscos sob sua responsabilidade ao Comitê Executivo de Riscos, à Diretoria Executiva, ao
Conselho de Administração ou a um de seus Comitês de Assessoramento, sempre que necessário.
 É responsável por estabelecer e implementar protocolos de Gestão de Crise e planos de Continuidade de Negócio
para os eventos de riscos sob sua responsabilidade, sempre que aplicável. Para eventos com impactos
significativos, devem ser realizados simulados com o objetivo de verificar a eficiência e a eficácia dos protocolos de
Gestão de Crises. A periodicidade dos simulados deverá ser definida pela 1ª linha de defesa em função da
criticidade, observando-se regras locais e especificidades da legislação.
 Deve atender as diretrizes definidas pela 2ª linha de defesa.

- 2 de 3 -
Política de Gestão de Riscos

DCA 059/2018 Rev.: 02-27/09/2018 POL-0009-G PÚBLICO

2ª linha de defesa
 Corresponde às áreas de gestão de risco, controles internos, normatização, conformidade legal e áreas
especialistas. Supervisionam e suportam o trabalho da 1ª linha de defesa, fornecendo capacitação e
instrumentação para o gerenciamento dos riscos. Devem identificar e monitorar os riscos novos e os emergentes,
assegurar o cumprimento de leis, de regulamentações, de normas internas e promover melhoria contínua na
gestão de riscos.
 Cabe à Diretoria Executiva a definição das responsabilidades da área de Governança, Risco e Conformidade (GRC)
incluindo, mas não se limitando a:
– desenvolver e implementar as políticas, as metodologias, os processos e a infraestrutura para a gestão integrada
de riscos;
– reportar ao Comitê Executivo de Riscos da Vale, periodicamente sobre os riscos aos quais o Sistema Vale está
exposto, dentro do escopo de atuação definido, e como esses riscos estão sendo monitorados, controlados e
tratados;
– assegurar o ambiente de conformidade, não se atendo apenas às questões legais, mas também incluindo o
cumprimento de políticas e normas internas;
– garantir o cumprimento do modelo de governança de riscos.
 Para riscos específicos, há áreas, tais como Meio Ambiente, Saúde e Segurança, Integridade Corporativa e
Segurança da Informação, que atuam como 2ª linha de defesa especialista, realizando o monitoramento dos riscos
e controles, e, assegurando a conformidade com regulamentações externas, políticas e normas internas. A
definição de quais áreas da organização irão atuar como 2ª linha de defesa especialista fica delegada ao Comitê
Executivo de Riscos da Vale.
 A partir da Matriz de Riscos será definido pela Diretoria Executiva o escopo e o modelo de atuação da área de GRC,
considerando-se a combinação da severidade com a probabilidade cuja ocorrência possa prejudicar a realização
dos objetivos da organização.

3ª linha de defesa
 A 3ª linha de defesa é composta por áreas com total independência da administração, isto é, a Auditoria Interna e a
Ouvidoria que realizam, observadas suas respectivas áreas de atuação, avaliações, inspeções, através da execução
de testes de controles, análise de riscos e apuração de denúncias, proporcionando asseguração isenta, inclusive
sobre a efetividade da gestão de riscos, de controles internos e de conformidade.

Governança geral
 O Conselho de Administração conta, para seu assessoramento, com comitês que, em linhas gerais, são
responsáveis por (a) monitorar os riscos e controles financeiros; (b) monitorar todos os riscos e controles
operacionais, incluindo riscos de Segurança, Meio Ambiente, Saúde e Atuação Social e riscos de reputação; e (c)
supervisionar a gestão de riscos, em linha com as diretrizes estabelecidas pelo Conselho de Administração da Vale
 O Comitê Executivo de Riscos da Vale, criado pelo Conselho de Administração da Vale, é o principal órgão da
estrutura de gestão de riscos, sendo responsável por emitir recomendações referentes a gestão de riscos do
Sistema Vale e por apoiar a Diretoria Executiva da Vale no monitoramento dos riscos e nas deliberações
necessárias. É assessorado por subcomitês específicos, que emitem recomendações referentes às suas respectivas
áreas de atuação.

Disposição Geral
 O Conselho de Administração da Vale delega à Diretoria Executiva da Vale a aprovação dos desdobramentos dessa
Política em regras e responsabilidades direcionadas ao gerenciamento e controle de riscos.

- 3 de 3 -