Elaborado por

Codificação Revisão
Morrysson
GFO-PG-010-012 1
PG - Pereira
Procedimento/Polít Aprovado por
ica de Gestão Data de Revisão Silvia Página
05/10/2022 Carvalho 1 de 6
Nascimento

Política de Gerenciamento de Riscos

1. Objetivo

da
Estabelecer princípios, diretrizes, conceitos e responsabilidades sobre a gestão de riscos do Grupo
Ferroeste (“Grupo”), incorporando a visão de riscos ao planejamento estratégico do Grupo.

ola
2. Abrangência

Esta Política é aplicável ao Grupo Ferroeste, suas subsidiárias e controladas, e todos os seus
colaboradores, sendo contemplado os fatores de riscos conhecidos e monitorados pela
administração da Companhia.

3. Definições
ntr
co
a) Canal de Ética: ferramenta disponível no site da Companhia e por telefone para relatar
denúncias e preocupações éticas e esclarecer dúvidas relacionadas ao tema.

b) Apetite a riscos: níveis de exposição a riscos que a Companhia está disposta a aceitar em busca
de atingir os objetivos estratégicos.
o
nã

c) Causas (Fatores de risco): situações que podem levar à ocorrência do evento mencionado pelo
risco, quando não controladas efetivamente pela Companhia.

d) Riscos: são eventos incertos que podem causar impactos, alterando, dificultando ou
impossibilitando o cumprimento dos objetivos da Companhia. Um risco é qualificado pela
pia

probabilidade de ocorrência e pelo impacto que pode causar, caso ocorra. Todos os riscos
que a Companhia avalia foram identificados no tópico 4.

e) Matriz de risco: é uma ferramenta de gerenciamento de riscos que permite de forma visual
Có

identificar quais são os riscos que devem receber mais atenção. Por se tratar de uma
ferramenta para priorização de riscos, ela é aplicada na etapa de avaliação dos riscos.

f) Titular do controle (Control Owner): profissional qualificado, responsável por executar os

controles, documentar as evidências e desempenhar um ou mais processos de negócios.

g) Titular do plano de ação: profissional cuja responsabilidade é executar as medidas definidas

de tratamento do risco, atualizar a completude e eficácia e documentar as evidências.
 Elaborado por
Codificação Revisão
Morrysson
GFO-PG-010-012 1
PG - Pereira
Procedimento/Polít Aprovado por
ica de Gestão Data de Revisão Silvia Página
05/10/2022 Carvalho 2 de 6
Nascimento

Política de Gerenciamento de Riscos

h) Titular do risco (Risk Owner): profissional cuja responsabilidade é mapear e gerenciar

determinado risco, indicando as ações de tratamento a partir do apetite a riscos definidos pela

da
alçada competente.

4. Diretrizes

ola
4.1. Identificação e tratamento de riscos:

A estrutura de Gestão de Riscos do Grupo é descentralizada, para potencializar a gestão do

conhecimento e perfil dos colaboradores. Os responsáveis devem identificar e monitorar os riscos

ntr
aplicáveis aos respectivos departamentos que podem afetar os objetivos da empresa.

Sempre que algum risco representar uma probabilidade de materialização com impacto relevante,
é obrigação da área responsável pelo processo estabelecer controles para mitigar ou monitorar seu
co
avanço, bem como reportar o status para às alçadas superiores e demais áreas impactadas, além
de realizar a comunicação imediata ao departamento de Governança, Risco e Compliance (GRC).

Os riscos devem ser identificados e avaliados considerando a probabilidade de ocorrência e seu

o

impacto sobre o negócio, legislação e imagem da empresa. As ações de mitigação devem ser
compatíveis ao grau de exposição aos riscos.
nã

Para os riscos avaliados e mapeados, levando em consideração a análise de custo versus exposição
aos riscos, deve ser estabelecido o Modelo das Três Linhas de Defesa:
pia

1ª linha: ambiente de controles com atividades de rotina e de controle, procedimentos,

alçadas de aprovação, bloqueios sistêmicos, restrição de acessos, conciliações.

2ª linha: atividades de gestão, monitoramento, análise de processos, prestação de contas,

Có

gestão dos controles internos, e

3ª linha: realização de auditorias internas e/ou externas em todas os processos.

A primeira linha é formada pelos titulares dos riscos, pelas unidades de negócios, gerências e
processos. É responsável por gerenciar os riscos e os controles internos, auxiliar na identificação
dos riscos e realizar comunicações tempestivas sobre o andamento dos riscos e controles e
 Elaborado por
Codificação Revisão
Morrysson
GFO-PG-010-012 1
PG - Pereira
Procedimento/Polít Aprovado por
ica de Gestão Data de Revisão Silvia Página
05/10/2022 Carvalho 3 de 6
Nascimento

Política de Gerenciamento de Riscos

alterações que possam impactar o ambiente de controles internos. Além disso, apresenta as
seguintes atividades:

da
• Garantir a execução tempestiva e suficiente dos controles internos sob sua responsabilidade.

• Dar apoio durante a avaliação do ambiente de gestão de riscos e controles internos.

ola
• Avaliar e validar o mapeamento de riscos e as descrições dos controles e seus respectivos
responsáveis, apresentados na Matriz de Riscos e Controles Internos.

ntr
• Avaliar e validar os planos de ação oriundos das avaliações do ambiente de gestão de riscos e
controles internos.

• Comunicar à Segunda Linha sempre que houver alteração da legislação ou procedimentos de

co
determinado processo que implique na necessidade de revisão do controle.

• Comunicar tempestivamente a necessidade da adequação de controles internos e intercorrências

identificadas, visando assegurar o ambiente de controles internos.
o

Na segunda linha, além da atuação dos gestores dos processos no monitoramento dos seus riscos,
nã

há áreas de apoio para melhorias do ambiente de controle destas áreas:

A área de Governança, Risco e Compliance (GRC) deve analisar o ambiente de controles, processos
e riscos, avaliar alterações, e realizar testes em conformidade com as melhores práticas adotadas
pia

no mercado. Além disso, deve garantir um programa de integridade e conformidade das atividades
com exposição a riscos relacionados às diretrizes éticas, de descumprimento de leis, regulamentos,
normas e práticas anticorrupção. O Programa de Integridade é composto por treinamentos de
disseminação do Código de Ética Conduta e das diretrizes éticas; monitoramento de registros, Canal
Có

de Denúncias e avaliações periódicas.

O Canal de Denúncias disponibilizado pela empresa é anônimo e confidencial, disponível e

divulgado a todos os colaboradores e terceiros. As ocorrências são administradas pela área do GRC,
tratadas pela área apropriada e os incidentes relevantes são reportados à Alta Administração,
através do Comitê de Ética.
 Elaborado por
Codificação Revisão
Morrysson
GFO-PG-010-012 1
PG - Pereira
Procedimento/Polít Aprovado por
ica de Gestão Data de Revisão Silvia Página
05/10/2022 Carvalho 4 de 6
Nascimento

Política de Gerenciamento de Riscos

Na 3ª linha, cabe a Auditoria Interna estabelecer planos anuais de trabalho, considerando, entre
outros, mapeamento e análise de riscos, os resultados dos trabalhos realizados, a compilação das

da
entrevistas com a Alta Administração, histórico de riscos em outras localidades, e as informações
recebidas dos gestores dos processos.

Os riscos devem estar presentes em todas as análises nos processos da empresa, e eventualmente

ola
podem ser considerados para divulgação externa de informações. É responsabilidade dos gestores
de atentarem para estes riscos, internos ou externos, que possam representar perdas,
comprometimento de imagem, afetar planos estratégicos ou sustentabilidade econômica.

Principais riscos a serem considerados:

ntr
a) Riscos de Cenário macroeconômico: Crise e/ou retração econômica; Demanda cíclica;
doenças epidêmicas ou pandêmicas; volatilidade do real perante outras moedas;
co
b) Riscos de Cenário socioambientais: riscos relativos à operação com alto risco atrelado;
custos de produção elevado; mudanças climáticas; legislação ambiental; passivos
ambientas; relacionamento com comunidade;
o

c) Riscos Regulatórios: Aderência as Leis e Regulamentos; Ética e Compliance.

nã

d) Riscos econômicos e financeiros: Políticas governamentais; Riscos sociais; alterações em

leis e regulamentações; competitividade perante o mercado; Inflação; Taxa de Juros; Risco
de crédito; Variação Cambial; Gerenciamento de capital (relação entre as dívidas
pia

financeiras e o capital próprio); Risco de Liquidez; Exposição do mercado de capitais; Custo

financeiro de capital.

e) Riscos de Estratégia (Companhia): Fusões, aquisições, desinvestimentos; novos negócios;

Có

mercado e competidores; barreiras comerciais; confidencialidade da informação.

f) Riscos Reputacionais (stakeholders): Comunicação; Imagem; Relacionamento com a

comunidade e com clientes, fornecedores, parceiros.

g) Riscos Operacionais e Tecnológicos: Riscos de abastecimento; Energia; Equipamentos e

capacidade produtiva; Gestão de Custos; Sistemas de Informação e Controle.
 Elaborado por
Codificação Revisão
Morrysson
GFO-PG-010-012 1
PG - Pereira
Procedimento/Polít Aprovado por
ica de Gestão Data de Revisão Silvia Página
05/10/2022 Carvalho 5 de 6
Nascimento

Política de Gerenciamento de Riscos

h) Riscos de Recursos Humanos: Sucessão e retenção; Cultura e Clima Organizacional;

Movimentos sindicais

da
Para estes riscos, cabe as áreas impactadas realizarem o monitoramento da exposição, através de
acompanhamento de cenários e informações externas; implantação de indicadores de controle;
contratação de análises técnicas quando necessário; aprofundar as causas de variações nos

ola
resultados; mapeamento de clima interno; fazer cumprir as políticas, procedimentos e a estrutura
de governança da empresa.

Os gestores são responsáveis em considerar todos estes riscos em suas ferramentas de controle,

ntr
elaboração de planejamento e monitoramento de controles, acompanhamento de resultado e
desdobramento de resultados e avaliações de cenários futuros.

4.2 Governança de riscos:

co
Todos os riscos mapeados precisam ser analisados e categorizados conforme a probabilidade de o
risco ocorrer e o impacto que ele causará, caso ocorra. Além disso, os gestores dos riscos (control
owner) precisam avaliar os controles que mitiguem o risco e faça a categorização dele, conforme
o

eficácia do controle. Por fim, após o mapeamento dos riscos e controles, caso o gestor da área
nã

identifique outros riscos que necessitam ser gerenciados e não foram incluídos no mapeamento, é
necessário compartilhar a informação com o setor do GRC, através de e-mail ou por meio do
sistema de gestão da Companhia.

Após o recebimento dos riscos propostos é realizada uma avaliação de viabilidade pela equipe do
pia

GRC, caso seja confirmado a necessidade de inclusão, é feito um cadastro do risco diretamente no
sistema de gestão, seguindo o fluxo padrão de cadastro de riscos e seus devidos controles. Caso o
risco seja avaliado como “Não factível” é retornado à informação ao requerente, justificando o
motivo da não realização do cadastro do risco proposto.
Có

Para os riscos que possuem probabilidade e impacto classificados como “Muito Alto” o dono do
risco precisa obrigatoriamente monitorá-lo conforme frequência deliberada e definida com equipe
do GRC e realizar os reportes necessários a área.

Em todas as avaliações de novos negócios, desinvestimentos de determinada operação, alterações

relevantes nas rotinas ou objetivos, revisões de planejamentos, é necessário que o gestor
 Elaborado por
Codificação Revisão
Morrysson
GFO-PG-010-012 1
PG - Pereira
Procedimento/Polít Aprovado por
ica de Gestão Data de Revisão Silvia Página
05/10/2022 Carvalho 6 de 6
Nascimento

Política de Gerenciamento de Riscos

responsável garanta a devida análise e impacto dos novos cenários com os riscos que possam se
apresentar.

da
5 Medidas disciplinares/sanções

A não observância dos procedimentos desta Política, por parte dos Administradores e

ola
Colaboradores, será examinada pelo Comitê de Ética, a depender da situação em questão, com a
consequente submissão de um parecer com recomendações, conforme o caso, ao Conselho de
Administração, que poderá sujeitar o infrator a sanções disciplinares adequadas, de acordo com as
regras internas do Grupo dispostas no Código de Conduta.

6 Aprovação e vigência ntr

A Política de Gerenciamento de Riscos foi criada e aprovada em 05/10/2022, pelo Conselho de
co
Administração, a vigorar a partir desta data. Esta Política somente poderá ser modificado por
deliberação da Administração da Companhia, sempre que referido órgão da administração
entender necessário e/ou em decorrência de alterações legislativas e regulatórias ou nos
documentos de governança da Companhia. Qualquer exceção na política deverá ser aprovada pelo
o

Conselho da Administração.
nã
pia
Có