MANUAL DE GESTÃO DE RISCOS CORPORATIVOS

1
 MAN.SUGOV.GCO.029

SUMÁRIO

1. DISPOSIÇÕES INICIAIS .................................................................................... 3

2. OBJETIVO ...................................................................................................... 3

3. DEFINIÇÕES ................................................................................................... 3

4. VISÃO GERAL ................................................................................................. 4

5. PROCESSSO DE GESTÃO DE RISCOS CORPORATIVOS ....................................... 6

5.1. IDENTIFICAÇÃO ................................................................................................ 6

5.1.1. Análise preliminar ....................................................................................................... 7

5.1.2. Mapeamento com as áreas de negócio ....................................................................... 7

5.1.3. Apresentação e refinamento ....................................................................................... 7

5.2. ANÁLISE E CLASSIFICAÇÃO ................................................................................ 7

5.2.1. Classificação por natureza, categoria e subcategoria ................................................... 8

5.2.2. Magnitude ou nível de risco ........................................................................................ 8

5.2.2.1. Probabilidade ................................................................................................................. 9

5.2.2.2. Impacto .......................................................................................................................... 9

5.2.2.3. Cálculo do índice de Probabilidade x Impacto ............................................................... 10

5.2.2.4. Exemplo de avaliação de risco ...................................................................................... 11

5.2.3. Definição dos riscos críticos....................................................................................... 13

5.3. RESPOSTA ...................................................................................................... 13

5.4. MONITORAMENTO ........................................................................................ 14

5.4.1. Monitoramento contínuo .......................................................................................... 14

5.4.2. Avaliações específicas ............................................................................................... 15

5.5. COMUNICAÇÃO ............................................................................................. 15

6. DISPOSIÇÕES FINAIS ..................................................................................... 17

INFORMAÇÕES DE CONTROLE .............................................................................. 18

2
 MAN.SUGOV.GCO.029

MANUAL DE GESTÃO DE RISCOS CORPORATIVOS

DA AUTORIDADE PORTUÁRIA DE SANTOS S.A.

1. DISPOSIÇÕES INICIAIS

Fica instituído o Manual de Gestão de Riscos Corporativos da Autoridade

Portuária de Santos S.A. (“Santos Port Authority”, “SPA” ou “Companhia”) como
parte integrante do conjunto de instrumentos de governança e de gestão que
suportam a concepção, implementação e melhoria contínua na estrutura
organizacional da Companhia.

2. OBJETIVO

Este Manual tem o objetivo de descrever o processo de Gestão de Riscos

Corporativos da SPA, suas etapas e conceitos aplicados a fim de orientar a gestão dos
riscos pelas áreas de negócio e garantir o cumprimento das diretrizes estabelecidas na
Política de Gestão de Riscos da Companhia.

3. DEFINIÇÕES

Para os fins deste Manual são adotadas as seguintes definições:

TERMO DESCRIÇÃO
Nível de risco que uma organização está disposta a
Apetite a risco
assumir.
As áreas de negócio responsáveis pelo tratamento e
Áreas Gestoras acompanhamento dos riscos relacionados as suas
atividades.
Agente responsável pelos riscos de sua área de atuação,
formalmente identificado, com alçada suficiente para
Gestor de riscos
orientar e acompanhar as ações de mapeamento,
avaliação e mitigação do risco.
Combinação de processos e estruturas implantadas pela
Governança Alta Administração da Companhia, para informar,
dirigir, administrar, avaliar e monitorar atividades

3
 MAN.SUGOV.GCO.029

TERMO DESCRIÇÃO
organizacionais, com o intuito de alcançar os objetivos e
prestar contas dessas atividades para a sociedade.
Estado, mesmo que parcial, resultante de deficiência
das informações relacionadas a um evento, sua
Incerteza
compreensão, seu conhecimento, seu impacto ou sua
probabilidade.
Documento no qual são formalizados os riscos da
Companhia, bem como suas informações de natureza,
Mapa de riscos
categoria, subcategoria, fatores de riscos, avaliação e
classificação de impacto e probabilidade.
Medidas aplicadas para tratamento dos riscos, com o
Controles objetivo de minimizar sua probabilidade de ocorrência
ou seu impacto em caso de materialização.
Situação que se deseja alcançar de forma a se evidenciar
Objetivo organizacional êxito no cumprimento da missão e no atingimento da
visão de futuro da organização.
Conjunto de ações e atividades inter-relacionadas, que
Processo são executadas para alcançar produto, resultado ou
serviço predefinido.
Possibilidade de ocorrência de um evento que tenha
impacto no atingimento dos objetivos da organização
Risco
ou na continuidade de seus negócios. O risco é medido
em termos de impacto e probabilidade.

4. VISÃO GERAL

A Autoridade Portuária de Santos entende como risco a possibilidade de

ocorrência de um evento que possa impactar adversamente o alcance dos objetivos
da Companhia ou a continuidade dos seus processos e negócios.

A melhor compreensão dessas incertezas que ameaçam a SPA facilita o

desenvolvimento de práticas de gerenciamento e definição da melhor estratégia de
resposta e monitoramento dos riscos identificados, reforçando a melhoria contínua
dos processos e dando suporte à continuidade e à sustentabilidade institucional, bem
como ao atingimento dos objetivos estratégicos.

4
 MAN.SUGOV.GCO.029

Gestão de riscos é basicamente a organização de técnicas e recursos visando

identificar e reduzir a probabilidade e/ou o impacto das incertezas nos objetivos
estratégicos da Companhia, na sua capacidade de gerar valor e na continuidade dos
negócios.

Os principais benefícios que a gestão de risco pode gerar são:

• Diminuir incertezas e evitar surpresas que afetem negativamente o

negócio da SPA;
• Melhorar o reporte das informações a todos os interessados,
garantindo a transparência no processo;
• Priorizar a alocação de recursos, promovendo maior integração e
interdependência entre as áreas; e
• Atuar de forma preventiva e reduzir as não conformidades.

A SPA estruturou seu processo de gestão de riscos separando as atividades

em duas frentes de trabalho, considerando os riscos corporativos e os riscos de
processos conforme podemos observar no quadro abaixo:

Figura 1 – Riscos Corporativos e Riscos de Processos

A Gestão de Riscos Corporativos na SPA fundamenta-se nas diretrizes gerais

providas pelo COSO-ERM (2017) e pela ISO 31000 (2009;2018), além de boas práticas
de mercado identificadas e na IN conjunta MP/CGU No 01, de 13 de julho de 2016. O
modelo conceitual foi devidamente adequado à realidade dos processos da SPA,

5
 MAN.SUGOV.GCO.029

chegando-se às bases descritas neste Manual. A seguir são apresentados os principais

conceitos e a descrição do processo de Gestão de Riscos Corporativos adotado pela
Companhia.

5. PROCESSSO DE GESTÃO DE RISCOS CORPORATIVOS

O processo de Gestão de Riscos Corporativos segue o disposto na Política de

Gestão de Riscos da SPA, e para sua realização foi estruturado em 5 macro etapas de
trabalho que se retroalimentam, conforme demonstrado na ilustração a seguir:

Figura 2 – Macro etapas do processo de Gestão de Riscos Corporativos

5.1. IDENTIFICAÇÃO

A gestão de riscos é uma atividade continua e que sofre influência do

ambiente interno e externo no qual a SPA está inserida, dessa forma para a
identificação dos riscos corporativos, é necessário levar em consideração todo esse
contexto da Companhia.

Nessa etapa busca-se compreender e organizar as informações a fim de

reconhecer e descrever quais os riscos que podem comprometer o cumprimento dos
objetivos ou a continuidade da Companhia através das seguintes atividades:

6
 MAN.SUGOV.GCO.029

5.1.1. Análise preliminar

• Avaliação de documentos internos da companhia como o planejamento

estratégico, mapeamentos anteriores, planos de contingência etc.;
• Benchmarkings com empresas de segmentos de negócios correlatos e
pesquisas de Gestão de Riscos realizadas por empresas conceituadas
no mercado;
• Análise de relatórios emitidos pela auditoria externa ou por órgãos
controladores.

5.1.2. Mapeamento com as áreas de negócio

• Reuniões de mapeamento e validação com as áreas de negócio,

Superintendentes e Diretores.

5.1.3. Apresentação e refinamento

• Reuniões de refinamento e validação dos riscos identificados com

Superintendentes e Diretores.

Nessa etapa procura-se também definir os Fatores de Risco associados a cada

risco identificado. Fatores de risco são situações/cenários que aumentam a
probabilidade de ocorrência ou o impacto do risco, e seu conhecimento auxilia na
definição dos planos de tratamento dos riscos.

O registro dos riscos e fatores de risco identificados deve ser realizado em

planilha de registro de riscos corporativos, de responsabilidade do Setor de Riscos e
Controles Internos.

5.2. ANÁLISE E CLASSIFICAÇÃO

Nesta etapa é realizado o desenvolvimento da compreensão sobre os riscos,

classificando-os e determinando a sua magnitude, também chamada de nível de risco.

7
 MAN.SUGOV.GCO.029

5.2.1. Classificação por natureza, categoria e subcategoria

Após a identificação dos riscos, e como forma de organizar as informações,

os riscos devem ser classificados de acordo com sua natureza, em categorias e
subcategorias, definidas em conjunto com as áreas de negócio responsáveis.
Atualmente as seguintes distribuições são utilizadas no Mapa de Riscos da SPA:

Natureza do Risco Categoria de Risco Subcategoria

Ambiente externo Imagem e Reputação Comunicação externa
Meio Ambiente Mudanças Climáticas
Modelo de negócio Mercado e concorrência
Modelo estatal
Político Econômico Econômico
Regulatório
Estratégico Conformidade Legislações e resoluções
Governança e Integridade Conduta Ética e Integridade
Cultura Organizacional
Estrutura Organizacional
Imagem e Reputação Comunicação e Divulgação
Sustentabilidade Responsabilidade Ambiental e Social
Financeiro Financeiro Gestão de Investimentos
Gestão Financeira
Operacional Comercial Gestão de Contratos de Clientes
Operação Capacidade e eficiência operacional
Contratação de Bens e Serviços
Infraestrutura
Logística
Segurança Pública e Patrimonial
Pessoas Disponibilidade de Recursos Humanos
Saúde e Segurança no Trabalho
Tecnologia da informação Inovação e Tecnologia
Segurança da Informação
Sistemas de TI
Tabela 1 – Classificação dos Riscos

5.2.2. Magnitude ou nível de risco

Após a classificação, o risco deve ser avaliado em relação à sua magnitude ou

nível de risco, ou seja, de acordo com a combinação de sua probabilidade de
ocorrência x seu impacto em caso de materialização.

8
 MAN.SUGOV.GCO.029

Para nortear a avaliação dos riscos pelas áreas de negócio, deve ser utilizada
a Régua de Probabilidade e Impacto (anexo I). A régua traz um conjunto de critérios
para a avaliação dos riscos com relação à sua probabilidade e impacto.

Vale ressaltar que na utilização da Régua de Probabilidade e Impacto,

havendo dúvida sobre o enquadramento da probabilidade ou do impacto de um risco,
deve-se utilizar o critério mais conservador, optando-se pela classificação mais
elevada.

5.2.2.1. Probabilidade

A probabilidade de ocorrência deve ser avaliada, utilizando como base o

histórico de materialização do risco ou de eventos relacionados, projeções de
ocorrência futura e maturidade de mitigadores e indicadores estabelecidos. Após
avaliação, o risco pode receber as seguintes classificações com relação à sua
probabilidade de ocorrência: remota, possível, provável ou alta.

5.2.2.2. Impacto

O risco deve ser avaliado com relação ao seu possível impacto em 6

diferentes aspectos:

• Financeiro – considerando eventuais prejuízos (diretos e indiretos),

custo de reversão, necessidade de investimentos etc.;
• Operacional (atividades externas e internas) – considerando impactos
na operação da SPA, nas atividades internas ou nas unidades de
negócio da Companhia;
• Imagem e Reputação – considerando exposição e repercussão negativa
para a Companhia;
• Legal – considerando impactos legais que possam ser sofridos pela
Companhia, seus gestores ou funcionários;
• Meio Ambiente – considerando abrangência do impacto no meio
ambiente e a capacidade de resposta da SPA; e

9
 MAN.SUGOV.GCO.029

• Saúde e Segurança do Trabalho – considerando impactos relacionados

à acidentes de trabalho.

Utilizando como base os critérios definidos na Régua de Probabilidade e

Impacto, cada aspecto deverá ser classificado, como: baixo, médio, alto ou muito alto.

Se o risco avaliado não puder ser mensurado em algum dos aspectos, essa
classificação pode ser considerada como “Não Aplicável” (N/A) e não fará parte da
composição do cálculo do impacto do risco.

5.2.2.3. Cálculo do índice de Probabilidade x Impacto

A partir das avaliações das áreas responsáveis, deve ser realizado o cálculo
do índice de probabilidade x impacto, e a classificação do nível de risco em: baixo,
médio, alto ou muito alto.

Para a definição da probabilidade o gestor deve atribuir um valor de 1 a 4

conforme a Escala de Probabilidade.

Escala de Probabilidade
Remota 1
Possível 2
Provável 3
Alta 4
Tabela 2 – Escala de Probabilidade

Para definição do impacto deve ser atribuído um valor de 1 a 4 conforme a

Escala de Impacto, para cada um dos aspectos avaliados.

Escala de Impacto
Baixo 1
Médio 2
Alto 3
Muito alto 4
Tabela 3 – Escala de Impacto

10
 MAN.SUGOV.GCO.029

Caso um dos aspectos tenha sido avaliado como não aplicável, deve ser
sinalizado como “N/A”.

Os valores das classificações do impacto de cada aspecto avaliado devem ser

somados e divididos pelo número de avaliações (não devem ser consideradas no
cálculo as avaliações definidas como “N/A”), o resultado da divisão deve ser um
número inteiro e se necessário, arredondado.

O cálculo do índice de probabilidade x impacto deve considerar o valor

atribuído na avaliação da probabilidade multiplicado pelo valor atribuído para o
impacto do risco, a partir desse resultado é obtida a classificação do nível do risco
avaliado, conforme tabela e gráfico abaixo:

Figura 3 – Probabilidade x Impacto

5.2.2.4. Exemplo de avaliação de risco

Figura 4 – Exemplo de Avaliação de Risco

No exemplo, a probabilidade do risco foi definida como: 3 (provável).

11
 MAN.SUGOV.GCO.029

O risco também foi avaliado em relação ao seu impacto em cada um dos

aspectos definidos:

• Financeiro: 2 (médio);
• Operacional: 4 (muito alto);
• Imagem e Reputação: 4 (muito alto);
• Legal: 4 (muito alto);
• Meio Ambiente: 0 (N/A);
• Saúde e Segurança do Trabalho: 0 (N/A).

Com base nas avaliações de impacto recebidas, foi realizado o seguinte

cálculo:

• Soma dos impactos: 2+4+4+4=14 ➔

• Média das notas dos impactos avaliados: 14/4= 3,5 ➔
• Impacto geral do risco com arredondamento: 4,0

Probabilidade x impacto:

O nível de risco foi encontrado através da multiplicação da probabilidade e

do impacto: 3 x 4 = 12, que representa um risco muito alto, conforme demonstrado
abaixo:

12

Figura 5 – Exemplo de cálculo probabilidade x impacto

12
 MAN.SUGOV.GCO.029

5.2.3. Definição dos riscos críticos

Os riscos críticos para a SPA devem ser definidos em conjunto com a

Diretoria, Coaud e Consad, e serão priorizados com relação aos planos de tratamento.
Atualmente, o critério utilizado para a definição dos riscos críticos da Companhia foi a
avaliação do impacto dos riscos. Foram destacados nesta categoria, aqueles com um
possível impacto alto ou muito alto, independentemente da sua probabilidade de
ocorrência.

5.3. RESPOSTA

Essa etapa compreende o planejamento e a realização de ações de resposta

aos riscos de forma a assegurar que os seus níveis sejam reduzidos ou se mantenham
dentro do apetite a risco aprovado para a Companhia.

Os riscos devem ser tratados na ordem de priorização determinada através

da Declaração de Apetite a Riscos da SPA vigente.

O nível do risco pode ser modificado por meio de medidas de resposta ao

risco que mitiguem, transfiram ou eliminem esses riscos, conforme quadro abaixo:

Figura 6 – Respostas aos riscos

13
 MAN.SUGOV.GCO.029

Após a definição do tipo de resposta mais adequado ao risco, os gestores de

riscos devem elaborar planos de tratamento, considerando os fatores de riscos,
buscando medidas reduzir a probabilidade de ocorrência, minimizar seus impactos,
ou uma combinação das duas abordagens.

As medidas de resposta ao risco devem considerar o nível dos riscos a serem

tratados, os esforços para implantação e o grau de redução do nível do risco esperado
com a implantação da proposta.

As medidas propostas podem envolver, por exemplo, a adoção de controles,

o redesenho de processos, a realização de treinamentos específicos, o
desenvolvimento ou aperfeiçoamento de soluções de TI, a adequação da estrutura
organizacional, entre outros.

Cabe à Diretoria Executiva (DIREXE) deliberar sobre os planos de tratamento

propostos pelas áreas gestoras de riscos para redução dos riscos que estejam acima
do nível de apetite, assim como avaliar as justificativas apresentadas quando não for
possível a redução de determinado risco ao nível aprovado.

As propostas de tratamento de riscos devem ser encaminhadas à DIREXE

através do Formulário de Mapeamento de Riscos Corporativos (anexo II), que deve ser
preenchido pelos gestores de riscos.

5.4. MONITORAMENTO

O monitoramento compreende o acompanhamento e a verificação do

desempenho da gestão de riscos em cada uma de suas etapas, e deve ser realizado
através da combinação do monitoramento contínuo e de avaliações específicas.

5.4.1. Monitoramento contínuo

O monitoramento de forma contínua deve ser realizado pelas áreas de

negócio no decorrer das operações, sempre que possível através de indicadores
predefinidos, para acompanhar seus riscos e respectivos níveis de exposição.

14
 MAN.SUGOV.GCO.029

Eventuais desvios devem ser comunicados tempestivamente ao Setor de Riscos e

Controles Internos.

Durante o monitoramento contínuo os seguintes aspectos devem ser

considerados:

• Evolução na implementação dos planos de tratamento;

• Aderência de controles/mitigadores já implementados;
• Surgimento de novos riscos.

O Setor de Riscos e Controles Internos deverá consolidar as informações

fornecidas pelas áreas de negócio para atualização dos documentos da área e elaborar
os informativos periódicos para a Diretoria e para os Órgãos de Governança.

5.4.2. Avaliações específicas

Avaliações especificas devem ser realizadas com base em métodos e

procedimentos predefinidos, cuja abrangência e frequência dependerão do avaliador.
Essas avaliações abrangem, trabalhos de auditoria realizados pela unidade de
Auditoria Interna da SPA, trabalhos de mapeamento específicos realizados pelo Setor
de Riscos e Controles Internos da SPA e avaliações realizadas por Órgãos Externos de
Controle para aferição da eficácia da gestão de riscos na SPA.

Os resultados das avaliações devem ser utilizados para verificação dos níveis
de risco, da efetividade dos planos de tratamento implementados, da eficácia dos
procedimentos de monitoramento contínuo e do sistema de gerenciamento de riscos
da SPA como um todo.

5.5. COMUNICAÇÃO

Dentro da gestão de riscos, o fluxo de comunicação deve envolver todas as

instâncias relacionadas na identificação, classificação, tratamento e monitoramento
dos riscos.

15
 MAN.SUGOV.GCO.029

As informações sobre novos riscos, mudanças internas ou externas que

possam impactar os riscos existentes, ou alterações nos níveis de riscos, quando
identificadas em qualquer nível da Companhia, devem ser comunicadas
tempestivamente.

O fluxo de comunicação deve permitir que as informações fluam em todas as

direções, tanto no sentido da área gestora, passando pelo Setor de Riscos e Controles
Internos e chegando na Diretoria ou vice-versa, conforme a figura abaixo:

Figura 7 – Fluxo de comunicação

A comunicação deve ser realizada de forma que a Diretoria da SPA seja

informada dos riscos por todas as unidades organizacionais, a área de Riscos e
Controles Internos possa documentar e prestar apoio técnico tanto para a Diretoria
quanto para as áreas de negócio, e que todas as áreas gestoras tenham ciência dos
principais riscos que afetam a Companhia e de mudanças que possam afetar os riscos
sob sua responsabilidade.

16
 MAN.SUGOV.GCO.029

O fluxo de comunicação deve envolver também a Auditoria Interna da SPA

que deve compartilhar os resultados das avaliações realizadas pelo setor, com o
objetivo de colaborar com o aprimoramento das ações realizadas pelas áreas gestoras
e dos trabalhos desenvolvidos pelo Setor de Riscos e Controles Internos. Por sua vez,
as áreas gestoras e o Setor de Riscos e Controles Internos devem compartilhar os
resultados dos monitoramentos realizados e demais informações solicitadas a fim de
subsidiar os trabalhos de auditoria.

A comunicação aos Órgãos de Governança da Companhia, deverá ser

realizada periodicamente através de relatórios emitidos pelo Setor de Riscos e
Controles Internos e validados pela Diretoria. O Setor de Riscos e Controles Internos
deverá também emitir informações para atendimento de demandas pontuais dos
Órgãos de Governança, sobre matérias especificas relacionadas ao gerenciamento dos
riscos corporativos.

As áreas gestoras de riscos, também poderão ser acionadas pelos Órgãos de

Governança para esclarecimentos sobre os riscos sob sua responsabilidade.

6. DISPOSIÇÕES FINAIS

Com o intuito de manter-se adequado às necessidades da Companhia, este

manual estará em constante processo de melhoria, devendo ser analisado
periodicamente pela Gerência de Compliance, Riscos e Controles Internos, para
verificar a necessidade de sua revisão.

Por fim, ressalta-se que o levantamento e gerenciamento de riscos devem

fazer parte dos processos das unidades de gestão, que deverão tomar conhecimento
do presente Manual e zelar por seu cumprimento.

Este Manual entra em vigor após aprovação pelo Conselho de Administração

da SPA.

17
 MAN.SUGOV.GCO.029

INFORMAÇÕES DE CONTROLE

TÍTULO
MANUAL DE GESTÃO DE RISCOS CORPORATIVOS

VERSÃO
0.0.1

UNIDADE GESTORA DO DOCUMENTO

SUPERINTENDÊNCIA DE GOVERNANÇA, RISCOS E COMPLIANCE

ALTERAÇÕES EM RELAÇÃO À VERSÃO ANTERIOR

PRIMEIRA VERSÃO

RELAÇÃO COM OUTROS NORMATIVOS INTERNOS

POLÍTICA DE GESTÃO DE RISCOS DA SPA

NORMATIVOS REVOGADOS
CARTILHA DE GERENCIAMENTO DE RISCOS

INSTÂNCIA DE APROVAÇÃO
CONSELHO DE ADMINISTRAÇÃO EM SUA 637ª REUNIÃO REALIZADA EM 08/06/2022,
POR MEIO DA DELIBERAÇÃO CONSAD Nº 072.2022.

18