APRESENTAÇÃO

Política de Gestão de Riscos, Conformidade e Controles Internos

APRESENTAÇÃO

A Companhia Estadual de Engenharia de Transportes e Logística (Central), como empresa pública, obedecendo os princípios constitucionais da legalidade, impessoalidade, moralidade, publicidade e eficiência, sem prejuízo dos demais princípios norteadores da Administração Pública Estadual, institui a Politica de Gestão de Riscos, Conformidade e Controles Internos que estabelece as diretrizes e objetivos, norteados pelos padrões de conduta ética e de integridade, visando a disseminação da cultura de controles para garantir o cumprimento das Leis, Regulamentos e demais Normas Internas, bem como mitigar riscos existentes e/ou que possam se manifestar.

As políticas de Gestão de Riscos, Conformidade e Controles Internos são orientações estratégicas, elaboradas com o intuito de aprimorar e fortalecer a Central, reforçando aspectos fundamentais para garantir a conformidade dos processos, aprimorando os mecanismos de gestão por meio da prevenção, detecção e correção, que impeçam a ocorrência de riscos nas atividades e nas tomadas de decisões, bem como os desvios de ética e de integridade, incluindo fraude e corrupção.

• Prevenção: visa identificar, avaliar e mitigar a ocorrência de riscos e eventuais desvios, que impactem o alcance dos objetivos estratégicos da companhia.

• Detecção: contempla mecanismos capazes de, tempestivamente, identificar e interromper a ocorrência de riscos e eventuais desvios que porventura não tenham sido evitados pelas ações de prevenção.

• Correção: possibilita o aperfeiçoamento das fragilidades que originaram o respectivo desvio e a recuperação de eventuais prejuízos, assim como, viabiliza a apuração dos desvios éticos nos casos em que a responsabilização seja comprovada.

As boas práticas de governança corporativa e compliance, utilizando os mecanismos de gerenciamento de riscos, controle interno, integridade e conformidade, constituem um pilar de sustentação para a companhia, tendo sempre como prioridade atuar orientados pela ética, integridade e transparência, em especial com a prevenção à fraude e à corrupção.

SUMÁRIO

CAPÍTULO I - INTRODUÇÃO 2

Seção I - Generalidades 2

Seção II - Da Abrangência 2

Seção III - Dos Conceitos 2

CAPÍTULO II - GESTÃO DE RISCOS 5

Seção I - Da Finalidade 5

Seção II - Dos Objetivos 5

Seção III - Dos Princípios 5

Seção IV - Das Diretrizes 6

Seção V - Do Gerenciamento de Riscos 7

Seção VI - Da Estrutura 7

Seção VII - Da Etapa Qualitativa 8

Seção VIII - Da Comunicação de Riscos 10

CAPÍTULO III - CONFORMIDADE 10

Seção I - Da Finalidade 10

Seção II - Do Objetivo 12

Seção III - Dos Princípios 12

Seção IV - Das Diretrizes 13

CAPÍTULO IV - CONTROLES INTERNOS 13

Seção I - Da Finalidade 13

Seção II - Dos Objetivos 14

Seção III - Dos Princípios 14

Seção IV - Das Diretrizes 15

Seção V - Das Linhas de Defesa dos Controles Internos 15

Seção VI - Da Implementação e Manutenção dos Controles Internos 16

CAPÍTULO V - DISPOSIÇÕES GERAIS 18

CAPÍTULO I - INTRODUÇÃO

Seção I – Generalidades

Art. 1º A Politica de Gestão de Riscos, Conformidade e Controles Internos tem por finalidade estabelecer os objetivos, diretrizes, princípios e conceitos a serem observados e seguidos pelos Administradores, Conselheiros, Gestores, Colaboradores, Estagiários e quem, de alguma forma se relacione com a companhia, sejam pessoas físicas ou jurídicas, para contribuir no alcance dos objetivos estratégicos.

Art. 2º Esta Política apresenta a estrutura de gerenciamento de riscos, definindo a metodologia e o processo de gestão de riscos, estabelecendo princípios, diretrizes e responsabilidades da gestão de riscos, bem como orientar os processos de identificação, avaliação, tratamento, monitoramento e comunicação dos riscos inerentes às atividades, incorporando a visão de riscos à tomada de decisões gerenciais e estratégicas, em conformidade com as melhores práticas de mercado.

Seção II – Da Abrangência

Art. 3º Esta Política, Planos e Normativos Complementares são aplicáveis aos administradores, conselheiros, gestores, empregados, prestadores de serviço, colaboradores, estagiários, consultores externos e quem, de alguma forma, desempenhe atividades na companhia.

Seção III – Dos Conceitos

Art. 4º Para efeitos desta Política, entende-se por:

I - Administradores: Membros do Conselho de Administração e da Diretoria Executiva;

II - Ambiente de Controle: é a consciência de controle da entidade, sua cultura de controle. O Ambiente de Controle é efetivo quando as pessoas da entidade sabem quais são suas responsabilidades, os limites de sua autoridade e se têm a consciência, competência e o comprometimento de fazerem o que é correto da maneira correta;

III - Avaliação de Risco: processo de identificação e análise dos riscos relevantes para o alcance dos objetivos da Central e a determinação de resposta apropriada;

IV - Auditoria Interna: atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, de controles internos, de integridade e de governança;

V - COSO (Committee of Sponsoring Organizations of the Treadway Commission / Comitê das Organizações Patrocinadoras) - instituição privada, sem fins lucrativos, que visa prover documentos e/ou relatórios financeiros com o maior nível de veracidade possível, utilizando, para isto, princípios como ética organizacional, transparência, controles internos, gerenciamento de riscos e governança corporativa. Este Comitê estabeleceu a metodologia denominada COSO ERM (Enterprise Risk Management/ Gestão de Riscos Corporativos), referência de mercado no tema;

VI - Conformidade (Compliance): um pilar da Governança Corporativa que fortalece o Sistema de Controles Internos e dissemina a cultura de cumprimento das regulações aplicáveis, as políticas internas e o Código de Conduta Ética e Integridade da companhia. Para a Central, conformidade é agir em cumprimento às normas e políticas internas e externas, e agir com ética e integridade;

VII - Consequência: resultado de um evento que afeta positivamente ou negativamente os objetivos, podem ser expressas qualitativamente ou quantitativamente;

VIII - Controles Internos da Gestão/Controles Internos: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de colaboradores da companhia, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da companhia, os seguintes objetivos gerais serão alcançados:

a) execução ordenada, ética, econômica, eficiente e eficaz das operações;

b) cumprimento das obrigações de prestação de contas;

c) cumprimento das leis e regulamentos aplicáveis;

d) salvaguarda dos recursos para evitar perdas, mau uso e danos. O estabelecimento de controles internos no âmbito da gestão pública visa essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica.

IX - Diretoria Executiva: representada pelo Diretor-Presidente e demais Diretores;

X - Evento: ocorrência ou alteração em um conjunto específico de circunstâncias capaz de causar impacto;

XI - Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física;

XII - Fonte de Risco – elemento que individualmente ou combinado, tem o potencial para dar origem ao risco;

XIII - Gerenciamento de Riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;

XIV - Gestor de Área: pessoa responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente. O Gestor de Área identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos;

XV - Governança Corporativa: compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade. É o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre acionistas, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. São princípios de governança corporativa: transparência, equidade, prestação de contas e responsabilidade corporativa;

XVI - Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros;

XVII - Impacto: consequência resultante da ocorrência do evento;

XVIII - Integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de desempenho; XIX - Mensuração de Risco: significa estimar a importância de um risco e calcular a probabilidade e o impacto de sua ocorrência;

XX - Probabilidade: possibilidade de ocorrência do evento;

XXI - Parte Interessada: pessoa ou organização que pode afetar, ser afetada ou percebe-se afetada por uma decisão ou atividade;

XXII - Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos da companhia. O risco é medido em termos de impacto e de probabilidade;

XXIII - Segregação de Funções: princípio básico de controle interno essencial para a sua efetividade. Consiste na separação de atribuições ou responsabilidades entre diferentes pessoas, especialmente as funções ou atividades-chave de autorização, execução, atesto/aprovação, registro, revisão, conformidade ou auditoria;

XXIV - Tolerância: limiar de risco, a partir do qual, certos resultados das operações da companhia podem ser comprometidos. É um indicativo da sensibilidade da companhia em relação aos riscos.

Parágrafo único – O Gestor da Área a que se refere o inciso XIV, é representado pelos Chefes dos Órgãos Estruturais da Companhia.

CAPÍTULO II - GESTÃO DE RISCOS

Seção I – Da Finalidade

Art. 5º A presente política estabelece diretrizes para as ações de Gerenciamento de Riscos da companhia, visando apresentar a estrutura de gerenciamento de riscos, definindo a metodologia e o processo de gestão de riscos, estabelecendo os seus objetivos, princípios e diretrizes, bem como orientar os processos de identificação, avaliação, tratamento, monitoramento e comunicação dos riscos inerentes às atividades, incorporando a visão de riscos à tomada de decisões gerenciais e estratégicas, em conformidade com as melhores práticas de mercado.

Seção II – Dos Objetivos

Art. 6º São objetivos da gestão de riscos:

I - Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos;

II - Possibilitar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais a companhia está exposta, inclusive para determinar questões relativas à delegação, se for o caso;

III - Aumentar a probabilidade de alcance dos objetivos institucionais, reduzindo os riscos a níveis aceitáveis;

IV - Agregar valor por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização;

V - Disseminar a cultura de gerenciamento de riscos a todo o corpo funcional da companhia;

VI - Buscar criação de suportes tecnológicos da informação para apoiar os processos de integridade, riscos e acompanhar a implementação dos controles internos da gestão.

Seção III – Dos Princípios

Da Adoção das Boas Práticas de Governança Corporativa Art. 7º São princípios da Gestão de Risco:

I - A Central adota as melhores práticas de governança corporativa, de forma sistemática, estruturada e oportuna, com o objetivo de alcançar e manter a transparência e a qualidade das suas informações, buscando melhor reputação perante a sociedade;

II - A Central reconhece que a gestão integrada de riscos corporativos está diretamente relacionada com a melhoria do desempenho das atividades, à conformidade legal e regulatória, à qualidade dos serviços, à

geração de valor, à governança e à reputação;

III - A Central utiliza um modelo baseado em metodologias e padrões formalizados e reconhecido pela literatura. A estrutura da gestão de riscos corporativos é capaz de se adequar às estratégias, às iniciativas e à estrutura organizacional, além de atender as exigências dos órgãos reguladores e fiscalizadores;

IV - A gestão de riscos corporativos permeia todas as práticas e processos organizacionais de forma a garantir a identificação de eventos de riscos inerentes a todas as áreas da companhia;

V - A Assessoria de Gestão de Riscos, Conformidade e Controles Internos - ASGER deve assegurar a eficácia do gerenciamento de riscos por meio de revisões periódicas, favorecendo o cumprimento de seus objetivos estratégicos e disseminar a importância da gestão de riscos, bem como a responsabilidade de cada área da companhia.

Seção IV – Das Diretrizes

Art. 8º A gestão de riscos deve ser sistematizada e suportada pelas premissas da metodologia do

Committee of Sponsoring Organizations of the Treadway Commission (COSO) e de boas práticas.

Art. 9º A atuação da gestão de riscos deve ser dinâmica e formalizada por meio de metodologias, normas, manuais e procedimentos.

Art. 10 As metodologias e ferramentas implementadas devem possibilitar a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais e para o gerenciamento e a manutenção dos riscos dentro de padrões definidos pelas instâncias supervisoras.

Art. 11 A medição do desempenho da gestão de riscos deve ser realizada mediante atividades contínuas ou de avaliações independentes ou a combinação de ambas.

Art. 12 A capacitação dos empregados e agentes que exercem cargo ou função na Central, em gestão de riscos, deve ser desenvolvida de forma continuada, por meio de soluções educacionais, em todos os níveis.

Art. 13 O desenvolvimento e implementação de atividades de controle da gestão considera a avaliação de mudanças, internas e externas, que contribuam para identificação e avaliação de vulnerabilidades que impactam nos objetivos estratégicos.

Art. 14 A utilização de procedimentos de controles internos da gestão proporcionais aos riscos é baseada na relação custo-benefício e na agregação de valor à companhia.

Art. 15 O gerenciamento de riscos nas contratações utilizará os procedimentos previstos no Regulamento de Licitações e Contratos da Central, voltados a evitar possíveis riscos que possam

comprometer a efetividade do planejamento da contratação, da seleção do fornecedor e da gestão contratual.

Seção V – Do Gerenciamento de Riscos

Art. 16 O gerenciamento de risco da Central integra-se às estratégias da companhia, com o intuito de alinhar todos os processos finalísticos existentes e praticados com a política vigente. A forma de atuação possibilita a identificação das áreas com maior potencial de risco e os cenários mais críticos para, por meio de uma gestão efetiva, estabelecer os indicadores chaves de risco, controlar e mitigar a exposição ao risco operacional a que a companhia está sujeita.

Art. 17 A estrutura de gerenciamento de risco adotada favorece uma ação compartilhada e multidisciplinar, na qual os empregados de cada área são os especialistas do processo e podem desempenhar importante papel na integração com a Assessoria de Gestão de Riscos, Conformidade e Controles Internos. Esta proximidade com o foco de risco possibilita uma interferência positiva e favorece uma gestão dinâmica e participativa.

Seção VI – Da Estrutura

Art. 18 A identificação de riscos tem como objetivo reconhecer e descrever os riscos aos quais a companhia está exposta e é realizada com a participação de todos os envolvidos na atividade de cada área. São definidos os eventos, as fontes, os impactos e os responsáveis por cada risco.

Art. 19 Análise dos riscos é a realização de análises qualitativas e quantitativas, visando a definição dos atributos de impacto e da probabilidade, utilizados na priorização dos riscos a serem tratados.

Art. 20 Avaliação dos riscos consiste em comparar os níveis estimados de risco com critérios definidos quando o contexto foi estabelecido, a fim de determinar a significância do nível e do tipo de risco, classificando-os como baixo, médio, elevado ou extremo.

Art. 21 Tratamento consiste em estipular uma resposta ao risco decidindo por uma das opções existentes de: evitar, mitigar, transferir ou aceitar. Assim como, definir exatamente os controles necessários a serem documentados no plano de ação a ser aprovado pela Diretoria Executiva.

Art. 22 Monitoramento dos Riscos consiste em supervisionar o gerenciamento de riscos, a implantação e manutenção dos planos de ação, por meio de atividades gerenciais contínuas e acompanhar os indicadores a serem instituídos pelas áreas, assim como os possíveis riscos residuais.

Seção VII – Da Etapa Qualitativa Art. 23 Levantamento dos Riscos:

I - Entrevista para Mapeamento dos Riscos: os riscos serão levantados por meio de reuniões com os gestores dos processos mapeados, tendo sempre como base o planejamento estratégico da companhia;

II - Registro Descritivo dos Riscos: os registros serão realizados utilizando planilha eletrônica ou software de riscos, sendo incluído todos os aspectos necessários para a compreensão do processo e de seus riscos inerentes, sendo registradas todas as informações levantadas durante as entrevistas;

III - Classificação dos Riscos: os riscos da companhia devem estar categorizados de acordo com a seguinte classificação, conforme o quadro a seguir:

Riscos Estratégicos	Decorrentes de riscos associados às decisões estratégicas da companhia para atingir os seus objetivos de atividades, e/ou decorrentes da falta de capacidade ou habilidade da empresa para proteger-se ou adaptar-se às mudanças no ambiente e na imagem da Central.
Riscos Financeiros	Decorrentes da possibilidade de perda, resultante da incerteza quanto ao recebimento de valores de financiamento pactuados com órgãos de fomento/agentes financeiros; Decorrentes de controles ineficientes e ausência de registros de movimentações financeiras. Decorrentes de contingenciamento de recursos financeiros pelo Estado (ente controlador) para pagamento de despesas com pessoal ou de custeio em geral ou de capital.
Riscos Operacionais	Decorrentes da falta de consistência e adequação dos sistemas de informação, processamento e controle de operações, bem como de falhas no gerenciamento de recursos e nos controles internos que tornem impróprio o exercício das atividades da companhia
Riscos Regulamentares	Decorrentes de sanções legais ou regulatórias, de perda financeira ou de reputação que a companhia pode sofrer como resultado da falha no cumprimento da aplicação de leis, acordos, regulamentos, código de conduta e/ou das políticas.

Riscos de Integridade Decorrentes da ocorrência de eventos que possam afetar a probidade da gestão de recursos públicos e das atividades da companhia, causados pela falta de honestidade, por fraudes e desvios éticos a partir da mobilização e participação da alta administração, gestores e empregados.

Art. 24 Atividades de Controle:

I - Após identificar os riscos, são verificadas as atividades de controles existentes nos processos, tendo em vista que um efetivo sistema de controles internos reduz a probabilidade de erros humanos e irregularidades em processos e sistemas, resultando na diminuição das perdas operacionais.

Art. 25 Avaliação dos Riscos:

I - A avaliação é realizada junto ao gestor da área, maior conhecedor do processo, que julga os riscos identificados com relação à probabilidade de ocorrência e a consequência dessa exposição ao risco, caso se materialize;

II - É importante ressaltar que a análise do risco inerente a cada atividade traz consigo grande complexidade pelos fatores subjetivos envolvidos, como o julgamento de quem o avalia, a sua interferência nos resultados esperados e a estratégia de negócio. Mesmo considerando a impossibilidade de uma percepção completa do risco, a estimativa dele será preponderante subsídio para o gerenciamento de risco;

III - Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de tratamento de cada risco, o resultado da avaliação dos riscos será apresentado em um mapa de riscos, chamado Matriz de Riscos, permitindo o acompanhamento da mitigação ou elevação dos riscos;

IV - O diagrama da Matriz de Riscos demonstra os pontos de cruzamento da probabilidade de ocorrência e do impacto dos riscos. Desta forma, pode-se avaliar a criticidade dos riscos. Quanto maior for a probabilidade e o impacto de um risco, maior será seu nível de criticidade.

Art. 26 Resposta aos Riscos (Planos de Ação):

I - Mensurados os riscos e estabelecidas as exposições que extrapolem o perfil de risco da companhia, os planos de ação são adotados visando reduzir o risco a um nível aceitável. As ações planejadas priorizam as causas identificadas como grandes potencializadoras do risco;

II - Os Gestores das Áreas deverão apontar os prazos para realização do plano de ação em que houver necessidade de elaboração e as estratégias adotadas para implementá-lo, de acordo com o nível do risco

identificado, que poderá ser: evitar (eliminar completamente os elementos de exposição a um risco específico), reduzir, transferir (neste caso requer um parceiro com interdependência financeira e que esteja disposto a aceitar o risco) ou aceitar o risco.

Seção VIII – Da Comunicação de Riscos

Art. 27 A comunicação de riscos deverá ser implementada em todas as etapas do processo de gestão de riscos. A comunicação atinge todas as partes interessadas, sendo realizada de forma clara e objetiva, respeitando as boas práticas de governança. A Assessoria de Gestão de Riscos, Conformidade e Controles Internos irá:

I - Reportar ao final da etapa qualitativa (identificação, avaliação e análise dos riscos) os resultados dos trabalhos realizados ao Diretor-Presidente, por meio do envio do arquivo consolidado na Matriz de Riscos, contendo a classificação dos riscos como baixo, médio, elevado e extremo;

II – Apoiar as Áreas Gestoras e suas respectivas Diretorias no tratamento dos riscos baixos, médios e elevados. Em casos específicos, em que houver necessidade de aprovação do plano de ação sobre esses riscos por parte da Diretoria Executiva, esses serão encaminhados juntamente com os riscos descritos no inciso III;

III - Submeter à Diretoria Executiva, relatório, ao fim de cada levantamento de riscos, contendo os riscos de níveis extremos para aprovação do tratamento proposto no plano de ação, elaborado pelas Áreas Gestoras. As Áreas Gestoras ficarão responsáveis por acompanhar e implementar os controles aprovados; IV - Elaborar relatórios semestrais de suas atividades, submetendo-os à Diretoria Executiva, Conselho de Administração, Conselho Fiscal e Comitê de Auditoria.

CAPÍTULO III - CONFORMIDADE

Seção I – Da Finalidade

Art. 28 Conformidade diz respeito ao dever de cumprir, de estar em harmonia e fazer cumprir normas internas e externas impostas às atividades da companhia.

Art. 29 Conformidade está relacionada à habilidade ou disciplina da organização em cumprir a legislação e regulamentação externas aplicáveis ao negócio e às normas e procedimentos internos.

Art. 30 A Conformidade é um dos pilares da Governança Corporativa, na medida em que fortalece o seguinte:

I - Sistema de Controles Internos; e

II - Disseminação da cultura de conformidade com a regulação aplicável, as normas e políticas internas e o Código de Conduta Ética e Integridade da companhia.

Art. 31 Para a existência de um ciclo eficaz da Conformidade, a Central deverá adotar nos seus normativos e procedimentos internos mecanismos que permitam prevenir, detectar e remediar riscos não condizentes com atuação ética e transparente.

Art. 32 Prevenir é sempre melhor e menos oneroso do que remediar. Assim, as medidas de prevenção são as mais importantes de serem implantadas e seguidas.

Parágrafo único – A Central deverá adotar mecanismos que possibilitem contratar, preferencialmente, fornecedores que tenham Programas de Integridade implementados, conforme os parâmetros estabelecidos em lei.

Art. 33 Para a garantia da efetividade da Conformidade, é fundamental que sejam também implantadas medidas de detecção e de remediação.

Art. 34 No caso da ocorrência de uma não conformidade, medidas para remediar os riscos e fortalecer medidas preventivas e de detecção devem ser adotadas, e a depender da sua natureza, devem ser também adotadas as medidas disciplinares cabíveis.

Art. 35 A conformidade na Central será definida pelo ambiente regulatório da companhia e representa um objetivo dos Controles Internos.

Art. 36 Na Central, o ambiente regulatório se dará por meio das legislações e regulamentações aplicáveis, e por meio dos seguintes instrumentos:

I - Estatuto Social: ato primário constitutivo que fixa os princípios institucionais ou orgânicos da companhia, rege, ordena e regulamenta o seu funcionamento;

II - Políticas: são documentos aprovados pela Diretoria Executiva e Conselho de Administração que devem tratar de princípios, objetivos, diretrizes gerais (orientações que definem e regulam um caminho a seguir para se estabelecer um plano) de um determinado tema. As políticas norteiam as ações da Central e servem como referência para o estabelecimento de normas e procedimentos, portanto, não devem conter fluxos de processos ou quaisquer detalhamentos desnecessários para o alcance dos objetivos da organização. Devem estar coerentes com a missão, visão e valores da companhia;

III - Regulamentos: conjunto de regras orgânicas e processuais que visam promover a execução da função administrativa, de forma a tornar efetivas as determinações e objetivos nele contidos;

IV - Regimentos: instrumento deliberativo que define a estrutura orgânica, as regras e organização da

companhia;

V - Código de Conduta Ética e Integridade: determina uma padronização de conduta ética que contribui para o alcance dos objetivos estratégicos da companhia;

VI - Demais Normas da Organização devem estabelecer os princípios orientadores das funções e atividades da companhia, observadas as políticas e diretrizes emanadas da Alta Administração que impõem regras e estabelecem procedimentos a serem seguidos na Central. Têm como principal objetivo organizar administrativamente a companhia e regular processos, subprocessos e atividades;

Seção II – Do Objetivo

Art. 37 A gestão da Conformidade tem como objetivos:

I - Aprimorar a Governança Corporativa da companhia proporcionando eficácia e eficiência no alcance dos objetivos estratégicos de forma integrada para gestão de riscos, conformidade, integridade e Controles Internos;

II - Disseminar a importância da conformidade com os preceitos éticos, a legislação nacional e internacional, os princípios, as políticas e os normativos internos e as boas práticas de Governança Corporativa e Integridade;

III - Estabelecer estratégia para implantação de conformidade, por meio da definição da metodologia de Controles Internos e respectivas linhas de defesa, pela atuação das áreas no âmbito da Central;

IV - Determinar aos administradores, gestores, empregados e prestadores de serviço o zelo pelo cumprimento das leis, das regulamentações, dos normativos e dos mais altos padrões éticos;

V - Proporcionar o aprimoramento constante da Conformidade, Integridade e da qualidade dos Controles Internos.

Seção III – Dos Princípios

Art. 38 São princípios para a gestão da Conformidade:

I - Liderança: as competências e responsabilidades devem estar identificadas para todos os que gerem recursos públicos, de forma a se obter resultados adequados;

II - Integridade: tem como base a honestidade e objetividade, elevando os padrões de decência e probidade na gestão dos recursos públicos e das atividades da companhia, com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de desempenho;

III - Responsabilidade: diz respeito ao zelo que se espera dos agentes de governança na definição de estratégias e na execução de ações para a aplicação de recursos públicos, e na obrigação da companhia e dos seus empregados de responsabilizar-se por suas decisões e pela prestação de contas de sua atuação de

forma voluntária, assumindo integralmente a consequência de seus atos e omissões;

IV - Compromisso: dever de todo o agente público de se vincular, assumir, agir ou decidir pautado em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade, prática indispensável à implementação da governança;

V - Transparência: caracterizada pela possibilidade de acesso a todas as informações relativas à Central, sendo um dos requisitos de controle do Estado pela sociedade civil. As informações devem ser completas, precisas e claras para a adequada tomada de decisão das partes interessadas na gestão das atividades.

Parágrafo único – Para uma efetiva governança, os princípios devem ser aplicados de forma integrada, como um processo, e não apenas individualmente, sendo compreendidos por todos na companhia.

Seção IV – Das Diretrizes

Art. 39 As diretrizes para a Gestão da Conformidade devem pautar-se no seguinte:

I - No dever do empregado de buscar informação sobre os normativos e políticas da Central;

II - No dever da Central de divulgar aos seus empregados seus papéis e responsabilidades e, propiciar a comunicação entre as áreas para garantir o perfeito entendimento de suas atividades;

III - Na implementação de Planos de Contingência adequados para garantir a continuidade dos processos críticos da companhia, assegurando a realização de testes periódicos que atestem sua efetividade;

IV - Na gestão fundamentada em leis, regulamentos e normas;

V - Na distribuição de responsabilidades, contemplando a segregação de função: autorização, aprovação, execução, controle e contabilização.

CAPÍTULO IV - CONTROLES INTERNOS

Seção I – Da Finalidade

Art. 40 Os Controles Internos são conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela Alta Administração e pelos demais empregados da Central, destinados a enfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da entidade, os seguintes objetivos gerais serão alcançados:

I - execução ordenada, ética, econômica, eficiente e eficaz das operações; II - cumprimento das obrigações de prestação de contas;

III - cumprimento das leis e regulamentos aplicáveis;

IV - salvaguardar os recursos para evitar perdas, mau uso e danos. O estabelecimento de controles internos no âmbito da gestão pública visa essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica.

Art. 41 Os controles internos devem ser estruturados para oferecer segurança razoável de que os objetivos da companhia serão alcançados. A existência de objetivos claros é pré-requisito para a eficácia do funcionamento dos controles internos.

Seção II – Dos Objetivos

Art. 42 Os controles internos da Central devem ter como objetivos:

I - Dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia razoável de atingimento dos objetivos estratégicos da Central;

II - Proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução ordenada, ética e econômica das operações;

III - Assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões, ao cumprimento de obrigações de transparência e à prestação de contas;

IV - Assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas, políticas, programas, planos e procedimentos de governo e da própria companhia;

V - Salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau uso, dano, utilização não autorizada ou apropriação indevida.

Seção III – Dos Princípios

Art. 43 Os Controles Internos da Central devem ser desenhados e implementados em consonância com os seguintes princípios:

I - Aderência a integridade e valores éticos;

II - A Diretoria Executiva exercerá a supervisão do desenvolvimento e do desempenho dos Controles Internos;

III - Coerência e harmonização da estrutura de competências e responsabilidades dos diversos níveis da Companhia;

IV - Compromisso dos Administradores em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da Companhia;

V - Clara definição dos responsáveis pelos diversos Controles Internos;

VI - Xxxxx definição de objetivos que possibilitem o eficaz gerenciamento de riscos;

VII - Mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente

identificados os riscos a serem geridos;

VIII - Identificação e avaliação das mudanças internas e externas à companhia que possam afetar significativamente os Controles Internos;

IX - Desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos;

X - Adequado suporte de tecnologia da informação para apoiar a implementação dos Controles Internos;

XI - Definição de políticas e normas que suportem as atividades de Controles Internos;

XII - Utilização de informações relevantes e de qualidade para apoiar o funcionamento dos Controles Internos;

XIII - Disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos Controles Internos de Gestão;

XIV - Realização de avaliações periódicas para verificar a eficácia do funcionamento dos Controles Internos de Gestão;

XV - Comunicação do resultado da avaliação dos Controles Internos de Gestão aos responsáveis pela adoção de ações corretivas, incluindo os Administradores;

XVI - Estabelecer que a missão e visão da companhia sempre deverão ser consideradas para elaboração de qualquer política, projeto, normativo ou documento informativo.

Seção IV – Das Diretrizes

Art. 44 As diretrizes do Controle Interno devem pautar-se no seguinte:

I - Nos princípios éticos que promoverão o Código de Conduta Ética e Integridade da Central, que é a base para determinação dos alinhamentos da missão da Companhia;

II - Em Controles Internos elaborados para prevenir conflitos de interesse, assim como estimular os empregados ao reportarem;

III - No fortalecimento da cultura de controles em conjunto com os demais pilares do sistema de Controles Internos na busca da sua conformidade, inclusive por meio de treinamentos, na medida em que sejam necessários.

Seção V – Das Linhas de Defesa dos Controles Internos

Art. 45 O Sistema de Controles Internos da Central deverá ser formado por 3 (três) linhas de defesa, que definem as responsabilidades dentro do aprimoramento do ambiente de controle interno.

Art. 46 As três linhas de defesa dos Controles Internos da Central deverão se organizar da seguinte

forma:

I - Controles internos de gestão (1ª linha) → funções que gerenciam e têm propriedade sobre riscos, que são operados por todos os empregados da Central responsáveis pela condução de atividades e tarefas;

II - Funções de gerenciamento de riscos, controles internos e conformidade (2ª Linha) → que é exercido pela Assessoria de Gestão de Riscos, Conformidade e Controles Internos, objetivando:

a) auxiliar a desenvolver e/ou monitorar os controles da primeira linha de defesa;

b) facilitar e monitorar a implementação de práticas eficazes de gerenciamento de riscos por parte da área gestora;

c) apoiar as políticas de gestão, definir papéis e responsabilidades na gestão de conformidade e estabelecer metas para implementação de controles;

d) monitorar a adequação e a eficácia do controle interno, a precisão e a integridade do reporte, a conformidade com leis e regulamentos e a resolução oportuna de deficiências;

e) auxiliar as gerências e as coordenadorias a desenvolver processos e controles para gerenciar riscos;

f) orientar sobre processos de gerenciamento de riscos e controles;

g) alertar a área gestora para questões emergentes e para as mudanças no cenário regulatório e de riscos;

III - Avaliação independente (3ª linha) → que é exercida pela Auditoria Interna forma concorrente e integrada.

Art. 47 Os Administradores estarão representados fora das três “linhas”, e dentro do Sistema de Controles Internos da Central, como as principais partes interessadas atendidas pelo sistema e são responsáveis por garantir que as Linhas de Defesa sejam aplicadas aos processos de gerenciamento de riscos, controles internos e conformidade da companhia.

Seção VI – Da Implementação e Manutenção dos Controles Internos

Art. 48 A Central deverá adotar nos seus processos e atividades, controles internos elaborados e implementados conforme as seguintes classificações:

I - Controles Preventivos – que destinam-se a evitar a ocorrência de erros, fraudes, desperdícios ou irregularidades;

II - Controles Detectivos – desenhados para detectar os erros, falhas ou irregularidades durante ou após sua ocorrência;

III - Controles Corretivos – como medidas contingenciais, a serem adotadas quando da ocorrência do problema, visando combater os efeitos causados.

Art. 49 Para o fortalecimento do ambiente de controle, controles internos devem ser observados e implementados no seu respectivo contexto, em todas as áreas da companhia, como por exemplo, os seguintes:

I - Adotar corretamente o princípio da segregação de funções buscando evitar o acúmulo de funções conflitantes;

II - Sistema de autorização e procedimentos de escrituração adequados, que proporcionem controle eficiente sobre o ativo, passivo, receitas, custos e despesas;

III - Pessoal com adequada qualificação técnica e profissional, para a execução de suas atribuições;

IV - Clara definição e estabelecimento das responsabilidades e as correspondentes delegações de autoridade;

V - Os registros das operações e transações devem constar de documentos originais e segundo o fluxo normal delas;

VI - Registro e controle de acesso das pessoas às dependências da companhia;

VII - Mecanismos para identificar e avaliar fatores internos e externos que possam afetar ou contribuir adversamente para a realização dos objetivos Central;

VIII - Disponibilizar sempre canais de comunicação que assegurem aos empregados, segundo o correspondente nível de atuação, o acesso a confiáveis, tempestivas e compreensíveis informações consideradas relevantes para o desempenho de suas tarefas e responsabilidades;

IX - Acompanhamento sistemático das atividades desenvolvidas, de forma que se possa avaliar se os objetivos da companhia estão sendo alcançados, se os limites estabelecidos e as leis e regulamentos aplicáveis vigentes estão sendo cumpridos, bem como assegurar que quaisquer desvios identificados possam ser prontamente corrigidos;

X - Adotar a gestão de terceiros, de forma a entender como funciona a cadeia de relacionamento da Central, com que ela se envolve, como serão analisadas as informações de um fornecedor, quais são os serviços terceirizados que precisam ser contratados. Definir, na medida do possível, uma atualização periódica dos dados e informações dos fornecedores e prestadores de serviço;

XI - Adotar prática de gestão da Tecnologia da Informação que permita manter protegido o banco de dados de invasões externas;

XII - Os processos e riscos das áreas deverão ser mapeados e devidamente normatizados, para estabelecer o padrão e mitigar os possíveis riscos envolvidos.

Art. 50 A partir dos processos e riscos mapeados, os gestores de área deverão elaborar normativos contendo os controles internos identificados como necessários durante os mapeamentos.

I - Aqueles controles que não estiverem inseridos em normas deverão ser devidamente documentados pelos gestores de área e, se possível, mencionados nos normativos como parte dos controles internos no respectivo processo;

II - Será de responsabilidade dos gestores de área apresentar tais controles quando solicitado em fiscalizações ou auditorias internas ou externas.

Art. 51 A área de Conformidade deverá analisar as minutas dos normativos quanto ao seu conteúdo, se está em conformidade com o respectivo mapeamento de processos e de riscos, políticas e demais normativos que se aplicam a Central.

CAPÍTULO V - DISPOSIÇÕES GERAIS

Art. 52 Esta política deve ser acompanhada pelo Conselho de Administração, Diretoria Executiva, Conselho Fiscal, Comitê de Auditoria e Auditoria Interna, no que tange à aplicação dos procedimentos e ao controle de suas diretrizes.

Art. 53 Os casos omissos ou as exceções e eventuais violações desta Política devem ser submetidas à apreciação da Assessoria de Gestão de Riscos, Conformidade e Controles Internos mediante a comparação da proposta apresentada com os preços de mercado praticados pela Contratada em outros contratos.

Art. 54 Esta Política será revisada pela Assessoria de Gestão de Riscos, Conformidade e Controles Internos a cada 2 (dois) anos, ou sempre que for necessária, conforme entendimento da Alta Administração da Companhia.

Art. 55 A presente política foi aprovada pela Diretoria Executiva na Ata de Reunião n° de / / 2019 e pelo Conselho de Administração na Xa Reunião de / / 2019 e entra em vigor produzindo os seus efeitos, a partir da sua publicação e divulgação no site da Central, no endereço eletrônico xxxx://xxx.xxxxxxx.xx.xxx.xx.

Art. 56 Base legal:

I – Lei Federal nº 13.303/2016 de 30/06/2016, que dispõe sobre o estatuto jurídico da empresa pública;

II – Decreto Estadual n° 46.188/17 de 06/12/2017, que dispõe sobre a regulamentação da Lei Federal nº 13.303/2016;

III – COSO - Committee of Sponsoring Organizations of the Treadway Commission - Gerenciamento de Riscos Corporativos – Estrutura Integrada, 2007;

IV – ABNT ISO GUIA 31000:2018;

V - Guia de orientação para o gerenciamento de riscos corporativos, IBGC (Instituto Brasileiro de

Governança Corporativa), 2007; e

VI - Código de Compliance Corporativo, IBDEE (Instituto Brasileiro de Direito e Ética Empresarial), 2017.