POLÍTICA DE GERENCIAMENTO DE RISCOS
POLÍTICA DE GERENCIAMENTO DE RISCOS
DA
OMEGA ENERGIA S.A.,
CNPJ/ME nº 42.500.384/0001-51/NIRE 35300571851
Município de São Paulo, Estado de São Paulo, na Rua Xxxxxx Xxxxxx, nº 68, 12º andar, Conjuntos nº 123 e 124, Xxxx Xxxxxxx, XXX 00.000-000
– 1 –
1. Definições
1.1. Os termos e expressões listados a seguir, tanto no singular quanto no plural, quando utilizados nesta Política, terão os seguintes significados:
“Administradores” Diretores e membros do Conselho de Administração da Companhia.
“Apetite ao Risco” É o nível de Risco que a Companhia está disposta a assumir para atingir seus objetivos.
“Auditoria Interna” Área de auditoria interna da Companhia.
“Comitês” Comitês de assessoramento ao Conselho de Administração, estatutários ou não.
“Companhia” Omega Energia S.A.
“Conselho de Administração” Conselho de administração da Companhia.
“Sociedades Controladas” Sociedades nas quais a Companhia, diretamente ou indiretamente, seja titular de direitos de sócia que lhe assegurem o poder de controle.
“Comitê de Auditoria e Gestão de Risco” O Comitê de Auditoria e Gestão de Risco da
Companhia, órgão de funcionamento permanente vinculado ao Conselho de Administração.
“Diretoria” Diretoria estatutária e não estatutária da Companhia.
“Estatuto Social” Estatuto social da Companhia.
“Fator de Risco” Ação/situação que origina o Risco.
“Matriz de Risco” Significa o documento que contém metodologia para avaliação dos Riscos a que a Companhia está exposta, contendo indicadores que os medem e constituindo
importante ferramenta para a priorização e definição de respostas aos Riscos.
“Política” A presente Política de Gerenciamento de Riscos.
“Risco” Possibilidade de evento que afeta negativamente a realização dos objetivos da Companhia ou de seus processos e abrange os principais eventos de riscos, incluindo, Risco Operacional, Risco de Recurso, Risco de Crédito, Risco de Liquidez, Risco de Mercado, Risco Cibernético de Tecnologia e Informação, que impactam as atividades ou o atendimento aos objetivos da Companhia.
2. Objetivo
2.1. Esta Política busca estabelecer as diretrizes, controles, procedimentos e responsabilidades no processo de gerenciamento de Riscos corporativos, de forma a viabilizar a adequada identificação, avaliação, comunicação, tratamento, mitigação e monitoramento dos Riscos e das oportunidades geradas ao longo de suas atividades através da gestão ativa de Riscos inerentes à operação da Companhia, sendo inspirada nos principais frameworks de Risco do mercado e baseada em três pilares estratégicos: gestão integrada, melhores práticas e accountability.
2.2. A Política de Gerenciamento de Riscos foi aprovada pelo Conselho de Administração da Companhia em 24 de setembro de 2021 e teve sua atualização aprovada pelo Conselho de Administração em 28 de outubro de 2021.
3. Abrangência
3.1. A presente Política se aplica à Companhia e suas Controladas.
4. Processo de Gestão de Risco
4.1. O gerenciamento de Riscos é um sistema intrínseco ao planejamento estratégico de negócios, composto por processos contínuos e estruturados, que buscam identificar e responder a eventos que possam afetar os objetivos da Companhia, por meio de uma estrutura de governança corporativa, responsável por manter esse sistema contínuo.
4.2. O gerenciamento de Riscos da Companhia deve estar presente em todos os processos de gestão, de maneira a promover a identificação antecipada de Riscos e sua gestão tempestiva, em conformidade com os mecanismos descritos abaixo.
5. Tipologia de Riscos
5.1. A Companhia está sujeita a diversos Riscos Corporativos que podem prejudicar seus negócios, os resultados de suas operações ou sua situação financeira. Desta forma, os Riscos para os quais a presente Política busca proteção estão classificados de acordo com as seguintes categorias:
(i) Risco Operacional: está associado à ocorrência de perdas resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, assim como de eventos externos como catástrofes naturais, fraudes, greves e atos terroristas. Entre os eventos de Risco operacional, incluem-se fraudes internas e externas; demandas judiciais; incapacidade de retenção de talentos; falta de matérias-primas; restrições à estrutura logística e de transportes no Brasil; segurança deficiente do local de trabalho; práticas inadequadas relativas a clientes; produtos e serviços; danos a ativos físicos que afetem a produção de energia dentro dos níveis esperados; entre outros;
(ii) Risco de Recurso: está associado à disponibilidade e manejo de recursos necessários à atividade operacional da Companhia e suas Controladas, incluindo o Mecanismo de Realocação de Energia (MRE), a estimativa de afluência e a incidência solar e de ventos onde estão localizados os ativos da Companhia;
(iii) Risco de Mercado: está associado à ocorrência de perdas resultantes da flutuação nos valores de mercado de posições próprias da Companhia, incluindo os Riscos das operações sujeitas à variação cambial, das taxas de juros, da demanda de mercado, dos preços de ações e dos preços da energia elétrica e principais matérias primas necessárias para manutenção dos ativos;
(iv) Risco de Crédito: está associado à ocorrência de perdas relativas ao não cumprimento pelo tomador ou contraparte de suas respectivas obrigações financeiras nos termos pactuados, à desvalorização de contrato de crédito decorrente da deterioração na classificação de Risco do tomador, à redução de ganhos ou remunerações, dentre outros fatores;
(v) Risco de Liquidez: está associado à possibilidade de a Companhia não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras, no vencimento ou somente fazê-lo incorrendo em perdas significativas, bem como
no possível aumento dos custos de transação do mercado de comercialização de energia; e
(vi) Risco de Tecnologia e Informação: está associado a falhas, indisponibilidade ou obsolescência de equipamentos e instalações produtivas ou fabris, assim como de sistemas informatizados de controle, comunicação, logística e gerenciamento operacional, que prejudiquem ou impossibilitem a continuidade das atividades regulares da organização, ao longo da sua cadeia de valor (clientes, fornecedores, parceiros e unidades regionais). Pode estar também associado a erros ou fraudes, internas ou externas, nos sistemas informatizados ao capturar, registrar, monitorar e reportar corretamente transações ou posições ou a ataques cibernéticos, assim compreendidas tentativas de comprometer a confidencialidade, integridade, disponibilidade de dados ou sistemas computacionais.
6. Identificação e Avaliação de Riscos
6.1. A identificação dos Riscos é realizada por meio das seguintes iniciativas:
(i) rodadas de discussões entre pessoas chave da Companhia e/ou profissionais do mercado com reconhecida capacidade técnica no respectivo assunto (auditores, consultores, advogados e outros);
(ii) benchmark com empresas de porte, estruturas e mercado semelhantes à Companhia;
(iii) entrevistas com colaboradores da Companhia;
(iv) auditorias nos processos internos da Companhia;
(v) registros de não conformidades apurados pelas gerências e departamentos técnicos da Companhia; e
(vi) Constante e diligente atualização da Matriz de Riscos.
6.2. Previamente à definição de qual tratamento será aplicado a determinado Risco, os Riscos são avaliados de acordo com o grau de exposição da Companhia a eles, conforme metodologia presente na Matriz de Riscos.
6.3. A Matriz de Riscos classifica os Riscos, em relação a cada uma de suas áreas, definidas no item 5 da Política, de acordo com sua probabilidade de ocorrência e a severidade de seus efeitos. Com base na composição destas duas variáveis, a Companhia identifica os principais Riscos aos quais a Companhia está sujeita.
6.3.1. A consolidação dessas informações é realizada por meio de atualizações periódicas do relatório da Matriz de Riscos, o qual é discutido em detalhes pela pelo Comitê de Auditoria e Gestão de Risco, órgão responsável por avaliar e controlar a exposição da Companhia aos Riscos e tomar as providências necessárias sem afetar o curso normal das atividades da Companhia.
6.3.2. A Matriz de Riscos deve ser revisitada, reavaliada e atualizada a cada 12 (doze) meses.
6.4. A avaliação de Riscos deverá fornecer um mapa dos Riscos da Companhia, proporcionando um mecanismo para priorização de Riscos e, consequentemente, uma ferramenta de direcionamento dos esforços para minimizar os Riscos mais significativos por meio de uma estrutura de controles internos alinhada aos objetivos da Companhia.
7. Tratamento de Riscos
7.1. Depois de identificados, avaliados e mensurados, deve-se definir o tratamento que será dado aos Riscos e como estes devem ser monitorados e comunicados às diversas partes envolvidas.
7.2. O tratamento dos Riscos consistirá na decisão entre aceitá-lo, eliminá-lo ou transferi- lo, com base no grau de Apetite ao Risco da Companhia:
7.2.1. Evitar o Risco: decisão de não se envolver ou de atuar com o fim de se retirar de uma situação de Xxxxx.
7.2.2. Aceitar o Risco: caso a Companhia opte por aceitar o Risco, ela poderá:
(i) Reter o Risco: manter o Risco no nível atual de impacto e probabilidade;
(ii) Reduzir o Risco: a Companhia toma ações no sentido de minimizar a probabilidade e/ou impacto do Risco;
(iii) Transferir e/ou Compartilhar o Risco: a Companhia realiza atividades que visam à redução do impacto e/ou da probabilidade de ocorrência do Risco por meio da transferência ou do compartilhamento de uma parte do Risco.
7.2.3. Prevenir o Risco e remediar danos: a prevenção consiste na diminuição da probabilidade de ocorrência e/ou a diminuição do impacto financeiro esperado sobre a Companhia caso o evento ocorra. Já a remediação consiste no controle dos danos após a ocorrência do evento.
7.3. A estratégia de mitigação e controle dos Riscos é discutida e aprovada pelo Conselho de Administração e operacionalizada pelas áreas envolvidas.
7.4. O Comitê de Auditoria e Gestão de Risco é responsável pelo acompanhamento das ações ou planos de contingência programados de maneira a garantir que os principais Riscos estejam devidamente endereçados.
7.5. As atividades de gestão de Risco são realizadas por especialistas contratados pela Companhia. A Companhia utilizará instrumentos financeiros derivativos somente para a cobertura de Riscos identificados e em montantes compatíveis com os valores relacionados ao Risco em questão.
8. Comunicação dos Riscos
8.1. A Companhia deve divulgar procedimentos e alinhar atitudes para reforçar a cultura da organização visando sempre estimular a comunicação de desvios ou suspeitas de violação dos códigos de conduta ou descumprimento de princípios éticos.
8.2. A Companhia deve divulgar, anualmente, relatório resumido do Comitê de Auditoria e Gestão de Riscos, contemplando as reuniões realizadas e os principais assuntos discutidos, e destacando as recomendações feitas pelo Comitê ao Conselho de Administração da Companhia.
9. Responsabilidades
9.1. Todos os agentes da Companhia participam do processo de gerenciamento de Riscos possuindo, cada um deles, importantes responsabilidades neste processo, conforme competências detalhadas abaixo.
9.2. Compete ao Conselho de Administração:
(i) Aprovar a presente Política, bem como suas atualizações e revisões sempre que necessário;
(ii) Aprovar a Matriz de Riscos; e
(iii) Estabelecer o nível de Apetite ao Risco da Companhia.
9.3. Compete à Diretoria
(i) Identificar Riscos preventivamente e adotar medidas para sua prevenção e minimização;
(ii) Propor ao Conselho de Administração o nível de Apetite ao Risco da Companhia;
(iii) Executar esta Política; e
(iv) Implementar as estratégias e diretrizes da Companhia aprovadas pelo Conselho de Administração.
9.4. Compete ao Comitê de Auditoria e Gestão de Riscos
(i) Propor ao Conselho de Administração a necessidade de revisão desta Política;
(ii) Acompanhar, de forma sistemática, a gestão de Riscos e o cumprimento de seus objetivos;
(iii) Supervisionar e acompanhar as atividades da área de auditoria interna da Companhia e da área de controles internos;
(iv) Avaliar e monitorar as exposições de Risco da Companhia;
(v) Propor ao Conselho de Administração, quando entender pertinente, a atualização da Matriz de Riscos ou a adoção de medidas corretivas ou melhorias estruturais no processo de gerenciamento de Riscos ou no sistema de controles internos da Companhia; e
(vi) Elaborar, anualmente, o relatório resumido referido na cláusula 8.2 acima.
9.5. Compete à Área de Controles Internos e Gerenciamento de Riscos:
(i) Desenvolver os processos a serem utilizados no gerenciamento de Riscos;
(ii) Assessorar a Diretoria na identificação preventiva de Riscos e sugerir medidas para sua prevenção e minimização;
(iii) Auxiliar o Comitê de Auditoria no monitoramento da exposição da Companhia a Riscos;
(iv) Identificar, avaliar e comunicar os Riscos da Companhia à Diretoria, para implementação de medidas voltadas a preveni-los e minimizá-los;
(v) Manter sistemas e estruturas de controles internos, alinhados com as práticas de mercado, que permitam a adequada identificação, avaliação, monitoramento e controles de Riscos e desconformidades; e
(vi) Elaborar, revisar e disponibilizar, políticas de gestão de Riscos da Companhia.
9.6. Compete à Área de Compliance:
(i) Elaborar e atualizar as políticas de integridade;
(ii) Desenvolver e auxiliar no desenvolvimento dos controles internos;
(iii) Assegurar a correta observância das políticas e leis relacionadas à integridade;
(iv) Receber, investigar e encaminhar as denúncias;
(v) Estabelecer e implementar plano de comunicação e treinamentos;
(vi) Realizar análise de risco com foco em integridade;
(vii) Monitorar a aplicação e necessidade de aprimoramento no programa de integridade; (viii)Quando necessário, contratar recursos internos, sendo, para isso, dotado de
orçamento anual próprio; e
(ix) Solicitar, de maneira autônoma, documentos e entrevistar colaboradores, quando necessário.
9.7. Compete à Auditoria Interna:
(i) Monitorar e avaliar, de forma independente e imparcial, a qualidade e efetividade do processo de gerenciamento de Riscos e dos controles internos da Companhia, realizando as recomendações de melhorias que entender adequadas;
(ii) Verificar a conformidade do processo de gerenciamento de Riscos com as políticas e normas adotadas pela Companhia;
(iii) Recomendar a adoção de planos de ação e acompanhar e auditar a sua implementação e a efetividade dos tratamentos propostos; e
(iv) Elaborar e disponibilizar, quando entender pertinente, relatórios e informações ao Conselho de Administração, por meio do Comitê de Auditoria, para subsidiar o acompanhamento da efetividade do gerenciamento de Riscos da Companhia e do sistema de controles internos da Companhia.
10. Estrutura Organizacional da Companhia
10.1. Na data de aprovação desta Política, a estrutura corporativa da Companhia está organizada conforme o organograma abaixo. O Comitê de Auditoria e Gestão de Risco é independente em relação às demais áreas operacionais da Companhia e se reportará diretamente ao Conselho de Administração. Por sua vez, a Área de Compliance se reportará à Diretoria, enquanto a Área de Controles Internos e Gerenciamento de Riscos e Auditoria Interna se reportarão ao Comitê de Auditoria e Gestão de Riscos.
11. Disposições Gerais
11.1. Esta Política pode ser alterada, sempre que necessário, por deliberação da maioria dos membros do Conselho de Administração presentes à reunião que deliberar sobre o assunto.
11.2. No caso de conflito entre as disposições desta Política e do Estatuto Social da Companhia, prevalecerá o disposto no Estatuto Social e, em caso de conflito entre as disposições desta Política e da legislação vigente, prevalecerá o disposto na legislação vigente.
11.3. Caso qualquer disposição desta Política venha a ser considerada inválida, ilegal ou ineficaz, essa disposição será limitada, na medida do possível, para que a validade, legalidade e eficácia das disposições remanescentes desta Política não sejam afetadas ou prejudicadas.
11.4. Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e será divulgada na forma prevista na legislação e regulamentação aplicável.
*-*-*
– 10 –