Política de Gerenciamento de Riscos

1 Propósito e Escopo da Política de Gerenciamento de Riscos

A política de gerenciamento de riscos deve documentar todos os aspectos referentes ao processo de gerenciamento de riscos na MAHLE Metal Leve S/A (MAHLE) para assegurar um entendimento comum para a Diretoria da MAHLE, o Comitê de Riscos, a organização de gerenciamento de riscos e todos os gerentes e empregados relevantes que são afetados com respeito ao gerenciamento de riscos.

O principal é descrever, explicar e documentar:

  • todas as definições relevantes relacionadas ao gerenciamento de riscos em geral
  • a estratégia e princípios da política de riscos
  • requerimentos legais relevantes
  • o escopo das entidades legais e gerenciais relacionadas
  • o processo de gerenciamento de riscos incluindo a comunicação e controle dos riscos
  • a organização de gerenciamento de riscos na MAHLE
  • os cálculos de risco chave como máxima exposição ao risco, tolerância aos riscos individuais, impacto, probabilidade e valor dos riscos.

A política é válida para a MAHLE e todas as empresas que a MAHLE possui participação majoritária direta ou indiretamente. Todos empregados destas companhias e seus conselhos e diretorias devem aderir a este manual para assegurar sua implementação. Além disso, é aplicável a empresas estrangeiras da MAHLE, desde que a MAHLE detenha uma maioria direta ou indireta dos direitos de voto. Se uma aplicação direta da política não for possível devido a regulamentos legais específicos do país, então os regulamentos adequados devem ser especificados e documentados pela empresa estrangeira controlada pela MAHLE.

As regras são adaptadas ao nível de risco da MAHLE para cumprir com os requisitos da CVM (Comissão de Valores Mobiliários).3

2 Definição de Risco e Gerenciamento de Riscos

Dentro desta política, o risco é definido como qualquer desenvolvimento interno ou externo que comprometa o alcance das metas e objetivos da MAHLE. O risco pode ser de natureza estratégica (“Estamos fazendo as coisas certas?”), bem como de natureza operacional (“Estamos fazendo as coisas da maneira correta?”). Mais precisamente, risco é o possível desvio negativo do lucro planejado / orçado dentro do processo de planejamento de negócios da MAHLE.

O gerenciamento de riscos é o processo de identificar e controlar sistematicamente as ameaças que podem afetar os objetivos da empresa. Esse processo precisa ser aplicado de forma consistente em todas as funções e unidades de negócio da MAHLE (ver capítulo 1 – escopo) e deve ser economicamente viável e proporcional aos riscos que estão sendo gerenciados.

3 Estratégia e Princípios da Política de Riscos

A estratégia de risco da MAHLE determina que os riscos devem ser tomados apenas para aumentar o valor da empresa e para evitar riscos que possam comprometer a existência contínua da companhia. Para cumprir com essa estratégia de risco, as ações relacionadas ao risco devem estar alinhadas com os seguintes princípios da política de risco para a própria MAHLE, incluindo todas as empresas subsidiárias (ver capítulo 1 – escopo) e todos os empregados:

  • Os objetivos corporativos e as atividades empreendedoras são orientadas para o futuro e devem observar estritamente o arcabouço legal e os princípios éticos.
  • Se surgirem oportunidades tanto no âmbito do negócio quanto no mercado, bem como de acordo com os objetivos corporativos, a MAHLE aproveitará essas oportunidades. Os riscos relacionados a esse tópico serão reconhecidos sistematicamente e reduzidos ao mínimo por estratégias e medidas da organização de gerenciamento de risco, considerando a possível lucratividade. Neste contexto, até mesmo uma decisão consciente de assumir um risco faz parte das decisões gerenciais.
  • Em conclusão, pode-se dizer que o gerenciamento de riscos sempre tem que lidar com diferentes níveis de riscos, a fim de aumentar e proteger o valor da empresa. No gráfico a seguir, a avaliação de risco abordada é ilustrada como exemplo.

 

 

Quadro 1: Visão compreensiva de riscos

  • Um elemento importante da estratégia de risco da MAHLE é manter suas atividades de negócios focadas no negócio principal de produtos, por exemplo, nos mercados automotivo, industrial e de serviços. Isso implica, por exemplo, que a MAHLE está usando instrumentos do mercado financeiro como derivativos apenas para equilibrar os riscos de seus principais negócios (por exemplo, riscos cambiais), mas não com o objetivo de obter lucros especulativos.
  • O controle dos riscos que ocorrem na MAHLE pode ser resumido nas seguintes estratégias (a lista inclui os principais elementos, mas não deve ser vista como completa):
    • Evitar riscos:
      • Violação de qualquer lei ou regulamento
      • Colocar em risco a futura existência da empresa
      • Efeito negativo na reputação
      • Colocar em risco o lucro
      • Influência adversa na segurança de todas as partes interessadas.
    • Limitação / Mitigação de riscos: Refere-se a riscos que não poderiam ser evitados. Portanto, a MAHLE define medidas adicionais de controle de mitigação para o respectivo risco, a fim de garantir que o impacto seja reduzido a níveis aceitáveis, por exemplo:
      • Câmbio e taxas de juros
      • Desenvolver soluções de backup para fornecedores únicos
      • Para a maioria dos riscos de negócios existentes, medidas e controles de mitigação devem ser definidos
    • Transferir ou parcialmente transferir os riscos, por exemplo, o seguro:
      • Responsabilidade pelo produto e problemas de recall devido a problemas de qualidade
      • Incêndio, inundação, explosão, terremoto, tornados e outros danos severos
      • Interrupção de produção e danos consequenciais
      • Fraude ou comportamento negligente de gestão
      • Roubo ou para terceiros através de regulamentos contratuais (por exemplo, acordos de garantia de fornecedores)
    • Compensação de riscos: Ocorre quando o impacto do risco é compensado pelos benefícios envolvidos. Por exemplo, uma tecnologia obsoleta que é substituída por uma nova tecnologia, para a qual suas vantagens compensam os investimentos gastos.
    • Aceitação de riscos: Este também é um “controle” no caso dos custos para evitar ou mitigar riscos não estarem em uma relação apropriada com os impactos do risco, por exemplo, única possibilidade de segregação de funções seria pelo aumento de pessoal, porém o impacto do risco da possível atividade fraudulenta seria muito menor do que os custos adicionais com pessoal. A aceitação de riscos deve ser apoiada por um cálculo compartilhado e validado pelos respectivos especialistas em risco (ver anexo 1).
    • Para muitos riscos, essas respostas aos riscos podem ser aplicadas em combinação.
  • Outros princípios relacionados ao gerenciamento de riscos na MAHLE são:
  • Gerenciamento de riscos está alinhado e incorporado à estratégia da MAHLE e suas divisões. Centra-se na identificação e gestão de riscos em todas as unidades de negócio.
  • Os principais papéis e responsabilidades para a coordenação em toda a empresa, bem como o controle do sistema de gerenciamento de riscos, incluindo a determinação de tarefas são claramente definidos e comunicados dentro da organização.
  • Uma definição comum de risco é usada consistentemente em toda a MAHLE.
  • Órgãos diretivos, como, por exemplo, o conselho de administração ou a diretoria, têm transparência e percepção adequadas sobre as práticas de gerenciamento de riscos da organização para executar suas responsabilidades.
  • Os gerentes da MAHLE em todos os níveis são responsáveis pela implementação e execução do gerenciamento de riscos dentro de suas áreas responsáveis. Além disso, os gerentes são responsáveis pelo gerenciamento de risco operacional e diário dentro de sua função.
  • A política de gerenciamento de riscos em toda a empresa deve interagir com outros sistemas de gerenciamento (por exemplo, sistemas de Controles Internos).
  • A estrutura operacional para todas as subáreas do sistema de gestão de risco, especialmente a identificação de riscos, controle de risco, comunicação e monitoramento, é determinada e documentada dentro da presente política.
  • A política comum de gerenciamento de riscos e políticas relacionadas são usadas em toda a organização para gerenciar riscos.
4 Requerimentos legais

A MAHLE Metal Leve S/A (MAHLE) está listada no mais alto nível de governança corporativa denominado “Novo Mercado” na B3 em São Paulo.

Portanto, as regulamentações específicas da Comissão de Valores Mobiliários do Brasil (CVM, atualmente CVM 552) são relevantes para a companhia e suas subsidiárias.

De acordo com os regulamentos acima mencionados, a MAHLE deve descrever, dentro da divulgação do Formulário de Referência para a CVM, os seguintes tópicos principais, pelo menos anualmente:

  • A política de gestão de risco existente e o órgão de governança que a aprovou.
  • Descrever, quantitativa e qualitativamente, os principais riscos de mercado, incluindo os riscos cambiais e de taxas de juros.
  • Informar os objetivos e estratégias da política de gerenciamento de riscos, incluindo: para quais riscos a empresa busca proteção; os instrumentos utilizados para a proteção e a estrutura organizacional para a gestão de riscos.
  • Descrever os controles internos com relação às demonstrações financeiras, tais como: principais práticas de controles internos e seu nível de eficácia; as estruturas organizacionais envolvidas e como a eficiência dos controles internos é supervisionada pela administração, mencionando o título/cargo dos responsáveis. O sistema de controle interno da MAHLE em vigor deve descrever os principais controles em relação às demonstrações financeiras (divulgue os principais controles em 5.3).
  • Divulgação mais detalhada sobre as conclusões e recomendações relevantes relatadas pelos auditores independentes das demonstrações financeiras na carta de controle interno e as respectivas ações tomadas pela empresa. 
5 Papéis e responsabilidades dentro do sistema de gerenciamento de riscos na MAHLE

Como parte da forma organizacional existente, as seguintes funções de gerenciamento de risco são responsáveis nos vários níveis do grupo. Em particular, estes são:

  • Conselho de Administração:

O conselho de administração da MAHLE é responsável por supervisionar a diretoria com relação à implementação de um sistema apropriado de gerenciamento de risco para a MAHLE e, consequentemente, aprovar a política de gerenciamento de risco.

  • Diretoria:

A diretoria é responsável pela implementação legal e funcionalidade contínua do sistema de gerenciamento de risco, considerando a eficiência e adequação das medidas individuais. Dentro dessa responsabilidade, a diretoria também deve definir os objetivos corporativos, a política de riscos, os campos de risco, o apetite de risco e as diretrizes gerais para o gerenciamento de riscos. Segundo o COSO (Committee of Sponsoring Organizations of the Treadway Commission), o apetite ao risco é a quantidade de risco, em um nível amplo, que uma organização está disposta a aceitar para aumentar o valor da empresa. Cada organização tem vários objetivos para agregar valor e deve compreender amplamente o risco que está disposto a assumir ao fazê-lo.

Além disso, a diretoria tem a tarefa de entender os riscos mais significativos, bem como gerenciar a organização em uma crise. A integração do sistema de gestão de risco na organização da empresa deve ser assegurada pela diretoria, assim como tomar medidas para o avanço da cultura de risco dentro da MAHLE.

Se surgirem tópicos que precisam ser decididos imediatamente, reuniões ad-hoc do conselho de administração devem ocorrer. Os tópicos de gestão de risco relativos a alterações na documentação, comunicação, responsabilidades, entre outros, são determinados pela diretoria, seguindo as principais instruções do conselho de administração. A diretoria é responsável pelo monitoramento das atividades de mitigação e por tomar as medidas apropriadas de contenção.

  • Gerente de riscos (“Auditoria Interna Brasil”):

A tarefa do gerente de risco é desenvolver o sistema de gerenciamento de risco e mantê-lo atualizado. Além disso, ele/ela é responsável pela documentação das políticas e estruturas internas de risco e pela coordenação das atividades de gerenciamento de riscos. A preparação de relatórios para a diretoria, bem como a compilação de informações sobre riscos, também é responsabilidade do gerente de riscos. Além disso, a tarefa inclui, por exemplo:

  • Garantia dos requisitos internos e externos de gerenciamento de riscos
  • Estabelecimento de avaliações de risco regulares
  • Validação de riscos reportados
  • Consolidação dos relatórios de risco
  • Monitoramento da implementação de atividades de mitigação
  • Determinar melhores práticas para mitigação de risco
  • Treinamento de funcionários
  • Especialistas de riscos / Gerentes de Unidades de Negócios, Centro de Serviços e funções:

Dentro da MAHLE, os especialistas em riscos geralmente são gerentes de Unidades de Negócios, Centros de Lucro, empresas do grupo, funções, entre outros, que devem assegurar a implementação e a correta aplicação de sistemas apropriados de gerenciamento de riscos para detectar e controlar riscos em suas áreas. Além disso, eles devem relatar os riscos dentro de sua área de responsabilidade de acordo com as solicitações de divulgação dentro do processo de gerenciamento de riscos e / ou devem validar os riscos relatados por seus coordenadores ou relatores de risco.

  • Auditoria Interna:

Tanto o desenvolvimento de um programa de auditoria interna baseado em risco, como a auditoria de processos de risco em toda a organização são tarefas da Auditoria Interna. Além disso, o departamento é responsável pela elaboração de relatórios sobre a eficiência e a eficácia dos controles internos e dos sistemas de gerenciamento de riscos.

  • Auditoria Externa:

O auditor externo é responsável pelo exame da adequação e funcionalidade do sistema de gerenciamento de riscos durante a auditoria da demonstração financeira anual.

  • Colaboradores:

Todo colaborador deve entender, aceitar e implementar os processos de gerenciamento de risco definidos no presente manual. Desta maneira, os colaboradores devem informar de maneira proativa potencias ineficiências atuais e futuras, controles desnecessários ou impraticáveis e mesmo eventos de perda. Para que se atinjam os objetivos mencionados, é necessário que haja cooperação mútua entre a alta gestão e os colaboradores em investigações de incidentes e outros. Adicionalmente, a MAHLE deve fornecer os treinamentos necessários e comunicar de maneira clara todos os aspectos envolvidos aos colaboradores.

6 Processo de Gerenciamento de Risco

Os próximos capítulos compreendem as etapas mais relevantes do processo de gestão de risco dentro da MAHLE:

6.1 Identificação do Risco

Os riscos são identificados com base em workshops de avaliação de risco organizados pelo gerente de riscos, envolvendo os especialistas de riscos definidos pela Diretoria da MAHLE. Dentro dos workshops, os questionários de risco são avaliados e outros riscos podem ser adicionados. Recomenda-se que os questionários sejam previamente preenchidos pelos especialistas de riscos a fim de aumentar a eficiência dos workshops.

Tais riscos são traduzidos em valores monetários e escalas de probabilidade (vide tópico 6.2). Para identificar os principais riscos, as seguintes instruções devem ser consideradas (mesma estrutura do questionário inicial):

  • O risco é baseado no impacto do lucro que não é coberto no orçamento e no plano estratégico por eventos como: custos adicionais, despesas, penalidades, redução de vendas e assim por diante.
  • O risco deve ser calculado no período de um ano.
  • Mitigações existentes devem ser deduzidas do risco. Exceções são cobertura de seguro e provisões que devem ser identificadas para evitar que tais riscos sejam esquecidos durante o processo de identificação.

Além disso, os colaboradores devem relatar a qualquer momento novos riscos ou mudanças na avaliação de riscos para os especialistas de riscos que avaliarão e informarão ao gerente de riscos caso os valores atinjam os limites mencionados no tópico 6.4.

 

6.2 Avaliação do Risco

Os critérios para avaliação de risco visam combinar fatores quantitativos (impacto financeiro) e qualitativos (por exemplo, imagem):

 

Figura 1: Critério para avaliação do risco

A figura demonstra que o impacto e a probabilidade são os principais direcionadores para o cálculo do valor do risco, que são influenciados por fatores de risco: imagem, velocidade, detecção, ocorrência e mitigação. Os critérios são descritos abaixo.

As categorias para o impacto do risco de perda são:

Range BRL (Milhões)
1 2-4
2 5-20
3 21-40
4 41-100
5 101-200
6 201-400
7 401-1.000
8 1.001-1.600
9 > 1.600

 

Os critérios para probabilidade de eventos futuros são:

Range % Ocorrência
1 1%-2% Menor que uma vez em 50 anos
2 3%-10% Uma vez em 10-50 anos
3 11%-30% Uma vez em 5-10 anos
4 31%-50% Uma vez em 3-5 anos
5 51%-70% Uma vez em 2-3 anos
6 71%-90% Uma vez em 1-2 anos
7 > 90% Uma vez por ano

 

O impacto do risco de perda será multiplicado pela probabilidade. Assim, o valor do risco individual para cada risco por participante é calculado. Os seguintes fatores são usados para melhor suportar o impacto do risco em termos de lucratividade e a sua probabilidade.

a) Imagem: impacto causado pela materialização do risco:

Range Descrição
1 Insignificante
2 Baixo
3 Moderado
4 Alto
5 Crítico

b) Velocidade entre a ocorrência do evento e o possível impacto:

Range Descrição
1 Fora do horizonte
2 Longo prazo
3 Médio prazo
4 Curto prazo
5 Imediato

c) Detecção é o nível de controle para permitir a identificação da ocorrência de risco (por exemplo, monitoramento regular realizado pelo gerente do departamento para avaliar as ocorrências passadas):

Range Descrição
1 Controle muito robusto
2 Controle com alta efetividade
3 Controle com efetividade moderada
4 Controle com baixa efetividade
5 Controle inefetivo ou não existente

d) Ocorrência baseada em eventos passados:

Range Descrição
1 Uma vez em 20-50 anos
2 Uma vez em 10-20 anos
3 Uma vez em 5-10 anos
4 Uma vez em 2-5 anos
5 Uma vez ao ano

e) Mitigação nível dos controles para reduzir ou eliminar a exposição e/ou impacto:

Range Descrição
1 Controle muito robusto
2 Controle com alta efetividade
3 Controle com efetividade moderada
4 Controle com baixa efetividade
5 Controle inefetivo ou não existente

 

A avaliação dos fatores de risco acima deve ser refletida no cálculo do risco de impacto e probabilidade, por exemplo, uma pontuação alta atribuída ao risco de imagem deve levar a um alto impacto no risco de lucro. Um modelo de pontuação eventual combinando os fatores de risco e o respectivo impacto e probabilidade pode ser definido pela diretoria visando uma avaliação de risco mais precisa.

Os especialistas de riscos devem atribuir contramedidas (controles de mitigação) seguindo os limites no anexo 2.  As contramedidas (controles de mitigação) devem seguir os atributos.

  • O controle deve focar no risco atribuído seguindo a metodologia 5Ws e 2H, para ter uma melhor descrição: O QUE (WHAT) – Definição qual é o controle de mitigação; PORQUE (WHY) – Razões e objetivos do controle de mitigação; QUEM (WHO) – quem participa, realiza e monitora; ONDE (WHERE) – O departamento / empresa envolvida; QUANDO (WHEN) – O momento, a frequência; COMO (HOW) – Procedimentos aplicados para realizar o controle de mitigação, por exemplo, ferramenta; QUANTO (HOW MANY) – Magnitude, quantificação do risco.

Além disso, o controle deve definir um processo para lidar com as exceções identificadas (por exemplo, informar ao especialista de riscos e ao gerente de riscos).

Com base em todos os riscos relatados e as respectivas contramedidas, o gerente de riscos revisará a consistência e configurará uma matriz de risco consolidada versus os controles de mitigação. Essa matriz será a base para a futura avaliação de risco e também pode ser usada pelos especialistas de riscos para auto avaliação dos riscos ou por auditorias internas ou externas para realizar os testes de controles internos.

Dependendo da área de responsabilidade de cada participante há uma consolidação por risco dos impactos gerais, as probabilidades e os valores de risco. O gerente de riscos consolidará os riscos de acordo com a responsabilidade e evitará duplicação.

6.3 Tolerância a Risco Único e Exposição Máxima ao Risco

Os riscos relatados pelo especialista de riscos são revisados pelo gerente de riscos e pela diretoria. Posteriormente, o gerente de riscos é responsável por de consolidar os riscos reportados.

A tolerância de risco único para um risco consolidado (por exemplo, devido ao mesmo risco pode ser reportado por diferentes unidades de negócios) do ponto de vista total da MAHLE é fixado pela diretoria (consulte o anexo 2). Portanto, nenhum risco individual deve exceder esse valor. Caso haja um risco maior, ações imediatas devem ser iniciadas para reduzir o valor do risco. Mais detalhes estão descritos no capítulo 6.4. quanto à divulgação e controle de riscos.

A exposição máxima ao risco é determinada pela diretoria (consulte o anexo 2). Caso a exposição máxima ao risco seja excedida, o gerente de riscos deve informar a diretoria sobre esta situação. As provisões e cobertura de seguro aqui devem ser deduzidas para calcular a exposição ao risco (para a identificação de riscos individuais, não é permitido assegurar que todos os campos problemáticos sejam considerados dentro do processo de gerenciamento de risco, ver capítulo 6.1). Além disso, a exposição ao risco é mostrada no relatório de risco regular descrito no capítulo 6.4. Uma vez por ano, a diretoria analisa a exposição máxima ao risco e ajusta-a no caso de novas percepções.

6.4 Relatório de risco e controle

Os riscos consolidados são resumidos no relatório de risco regularmente. Dependendo do nível de risco, os riscos são relatados no relatório de risco do conselho de administração. Outros riscos fazem parte de um relatório que deve estar sob o foco da organização de gerenciamento de risco. Para os principais riscos (consulte o anexo 2), os sistemas de controle geral devem ser documentados e os planos de medição com responsabilidades claras devem ser definidos e acompanhados pela organização de gerenciamento de riscos.

As principais determinações da diretoria referente ao conteúdo dos relatórios de risco e do ciclo de reportingsão:

    • A estrutura do relatório de riscos principais (top risks) está de acordo com as determinações do anexo 3; Aqui estão os principais conteúdos baseados na avaliação de risco inicial, incluindo:
    • Os riscos principais (top risks – consulte o anexo 2):
      • um membro da diretoria como um Custodiante Sênior para cada um dos principais riscos
      • as contramedidas definidas (controle de mitigação) incluindo responsabilidades para cada um dos principais riscos
    • Riscos adicionais a serem divulgados pelos especialistas de riscos com contramedidas (consulte o anexo 2):
      • Para cada um dos riscos adicionais, um gerente com report direto para a diretoria deve ser um Custodiante Sênior.
      • uma contramedida definida, incluindo responsabilidades por cada risco.
    • Riscos adicionais a serem divulgados pelos especialistas de riscos (consulte o anexo 2):
      • Nenhuma contramedida precisa ser definida para tais riscos.

O ciclo de report de risco referente aos seus principais conteúdos relevantes é o seguinte:

    • Uma vez ao ano, um relatório de risco formal deve ser criado com base nos workshops existentes:
      • os resultados serão consolidados pelo gerente de risco e apresentados a diretoria.
      • a diretoria aprova o relatório de riscos e informa o conselho de administração que aprova o comunicado à CVM.
    • Após 6 meses, haverá uma solicitação à organização de gerenciamento de riscos para relatar novos riscos relevantes:
      • o gerente de riscos informa a diretoria e, em seguida, a diretoria reporta ao conselho de administração em caso de alterações nos principais riscos: aumento do valor de risco; ou novos riscos relevantes identificados (top risks) (consulte o anexo 2).
    • Caso durante o ano a situação de risco mude drasticamente, haverá um relatório de risco ad-hoc para a diretoria.

O especialista de riscos é responsável pela auto avaliação se a contramedida (controle de mitigação) foi aplicada de acordo com o desenho de controle de mitigação. Em caso de qualquer fraqueza de contramedida, o especialista de riscos deverá informar o supervisor e o gerente de riscos.

6.5 Divulgação para a CVM

O relatório de risco é a principal fonte de informações divulgadas anualmente à CVM, em conformidade com os requisitos legais existentes. Todos os principais riscos (top risks – consulte o anexo 2) devem ser reportados à CVM, além disso, a administração pode decidir relatar outros riscos em linha com as práticas aplicadas no mercado.

Antes de ser divulgado à CVM, o respectivo texto deve ser elaborado pelo gerente de riscos e aprovado pelo Departamento Jurídico, de Relações com Investidores e pela Diretoria.

Se houver alguma mudança relevante na situação de risco, uma nova divulgação deve ser feita durante o ano e o fluxo de aprovação deve ser seguido.

A figura a seguir demonstra uma visão geral do processo de gerenciamento de riscos:

 

Figura 2: Visão geral do processo de gerenciamento de riscos

7 Comunicação e treinamento

Esta política é divulgada a todos os colaboradores através da Intranet (página: Brasil Finanças e Controladoria / Gestão de Riscos).
Além disso, a política é comunicada aos executivos (EL) e gerentes (ML1) por meio de sessões de treinamento / workshops que devem aceitar e estar comprometidos com o cumprimento dos requerimentos.