5.1 - Política de gerenciamento de riscos

5.1 Política de gerenciamento de riscos

a) se o emissor possui uma política formalizada de gerenciamento de riscos, destacando, em caso afirmativo, o órgão que a aprovou e a data de sua aprovação, e, em caso negativo, as razões pelas quais o emissor não adotou uma política;

A Companhia possui uma política de Gestão de Riscos aprovada em janeiro de 2016 pelo Conselho de Administração, possuindo como princípio o alinhamento dos objetivos estratégicos e sua estrutura, com as melhores práticas do mercado, de forma que possibilite o cumprimento dos objetivos estabelecidos pela Administração, uma vez que incertezas e eventos futuros não podem ser previstos ou mensurados com exatidão e podem impactar as atividades e a perpetuidade dos negócios.

Adicionalmente, além da política formal, para gestão dos riscos, a Companhia adota uma série de ações e procedimentos de forma a mitigar os eventuais riscos aos quais está exposta.

b) os objetivos e estratégias da política de gerenciamento de riscos, quando houver, incluindo: i. Os riscos para os quais se busca proteção

Os riscos para os quais a Companhia busca proteção são principalmente aqueles descritos no item 4.1 deste Formulário, compreendendo principalmente riscos quanto à:

 Execução da estratégia de negócios  Manutenção da atividade operacional  Cobertura de seguros dos ativos  Decisões de processos judiciais  Preços de insumos

 Cumprimento de legislação ambiental  Novas tecnologias

Conforme a política, os riscos são classificados em cinco categorias, sendo:

 Estratégico: riscos que afetam os objetivos estratégicos e podem ser fortemente influenciados por fatores externos, porém também sujeitos a fatores internos.

 Financeiro: riscos associados a gestão financeira da Companhia.

 Operacional: riscos relacionados a infraestrutura da Companhia (processos, pessoas e tecnologia), que afetam a eficiência operacional e utilização efetiva e eficiente de recursos.

 Regulatório: riscos relacionados ao cumprimento da legislação, considerando leis aplicáveis ao setor de atuação e legislação em geral.

 Meio ambiente: riscos decorrentes de eventos, acidentes ambientais e mudanças climáticas com consequências sociais e/ou econômicas ao negócio.

5.1 - Política de gerenciamento de riscos

ii. Os instrumentos utilizados para proteção

Os riscos são avaliados de acordo com seu impacto relacionado as possíveis consequências nas operações da Companhia e vulnerabilidade considerando a exposição ao risco em relação aos controles já existentes, conforme classificação pela área de Gestão de Riscos e Controles Internos.

Após a identificação dos riscos, os mesmos são gerenciados de acordo com sua criticidade e avaliadas as melhores alternativas para mitigação, definição de controles ou aceitação do risco cujo impacto seja menor que o custo benefício de seu gerenciamento.

Além dos aspectos da política formal de Gerenciamento de Riscos, a Companhia adota uma série de ações e procedimentos, dos quais entende necessários para controle e mitigação dos riscos expostos, tais como: - Aprovação junto a Administração do Plano Orçamentário com acompanhamento tempestivo;

- Procedimentos de manutenção contínua e preventiva dos ativos, incluindo Paradas Anuais das fábricas e desenvolvimento constante dos colaboradores;

- Apólices de seguros ativas para os ativos e lucros cessantes (parcial);

- Procedimento formal de atualização de contingências junto aos assessores jurídicos;

- Desenvolvimento de fornecedores, sem haver concentração, em processo formal de cotação e alçadas de aprovação;

- Área de Planejamento & Desenvolvimento para acompanhamento das estratégias e do mercado em que a Companhia atua;

- Área de Auditoria Interna para revisão e acompanhamento dos processos da Companhia em conjunto com uma área de Integridade;

- Conselho Fiscal instaurado eleito por assembleia para defesa dos diretos dos acionistas.

Para assegurar que os principais riscos inerentes às atividades da Companhia sejam identificados, avaliados, tratados, monitorados e comunicados, tanto no âmbito estratégico quanto no operacional, a Gestão de Riscos segue as etapas descritas abaixo.

A identificação dos riscos será realizada pela Gerência de Riscos e Controles Internos em conjunto com as Diretorias e Gestores dos Negócios e das Áreas Corporativas, incluindo entrevistas e/ou questionários com funcionários da Companhia que possuam amplo conhecimento das respectivas áreas de atuação. Os riscos levantados devem ser baseados em evidências e análise críticas de dados.

Os riscos identificados devem ser avaliados em relação a sua criticidade, a qual depende do respectivo grau de impacto e de vulnerabilidade definidos no procedimento interno de Gestão de Riscos.

Após determinação do grau de impacto e de vulnerabilidade de cada risco com seus respectivos critérios de avaliação, o risco será inserido no “mapa de calor”, com o intuito de determinar sua criticidade e priorização do tratamento. O grau de criticidade do risco pode ser: baixo, médio, alto e crítico.

Após os riscos terem sido classificados, avaliados e determinados suas criticidades, a Gerência de Riscos e Controles Internos deve apresentá-los na Comissão de Riscos, a fim de ratificar e evidenciar os riscos prioritários para tratamento.

Com base nas respectivas criticidades, a Comissão de Riscos, juntamente com as Diretorias e Gestores dos Negócios e das Áreas Corporativas, podem tomar as seguintes decisões sobre como atuar nos riscos: reduzir, transferir e/ou compartilhar, reter ou aceitar, explorar.

5.1 - Política de gerenciamento de riscos

fornecendo assim novos controles e/ou modificação da criticidade dos riscos existentes.

A Gerência de Riscos e Controles Internos realizará continuamente acompanhamento e revisão dos riscos e respectivos planos de ações de acordo com a criticidade dos riscos: altos e críticos de forma semestral ou conforme demanda da Comissão de Riscos; para os riscos médios e baixos, de forma anual.

A Comissão de Riscos será responsável pelo acompanhamento, avaliação e comunicação dos riscos e respectivos planos de ações juntamente com a Gerência de Riscos e Controles Internos em reuniões periódicas, bem como do encaminhamento de informações de riscos para apreciação dos demais órgãos da Companhia.

iii. A estrutura organizacional de gerenciamento de riscos

A Política de Riscos aprovada em janeiro de 2016 está em processo de revisão, onde teremos a definição das responsabilidades do Conselho de Administração, Diretoria, Comissão de Riscos, Gerência de Riscos e Controles Internos e Áreas de Negócio. Tanto a política como o procedimento de riscos estarão em consonância com os princípios adotados como o COSO e ISO 31000.

Apesar da política de riscos estar em processo de revisão, além das práticas atuais da Companhia para gestão de riscos, citamos abaixo as principais atribuições, papéis e responsabilidades de cada área no processo de gestão de riscos da empresa.

Conselho de Administração:

- Definir, apoiar e disseminar a filosofia de Gestão de Riscos; - Aprovar as definições gerais da estratégia de Gestão de Riscos; - Estar informado sobre os principais riscos da Companhia. Comissão de Riscos:

- Estabelecer a Política e os Procedimentos da Gestão de Riscos; - Avaliar e monitorar os riscos mais relevantes reportados; - Validar ações e controles de mitigação propostos; - Disseminar a cultura de Gestão de Riscos; - Comunicar os principais riscos da Companhia; Diretorias:

- Disseminar e promover a cultura de Gestão de Riscos;

- Validar os riscos reportados de suas respectivas áreas ou unidades de negócio;

- Possibilitar a existência de recursos físicos e financeiros para monitoramento, controles e ações propostas para os riscos reportados de suas respectivas áreas ou unidades de negócio.

Gerência de Riscos e Controles Internos: - Implantar a Gestão de Riscos na Companhia;

- Identificar, monitorar e controlar periodicamente os riscos;

- Consolidar e reportar os riscos e os planos de ação da organização à Comissão de Riscos;

- Auxiliar as áreas de Negócios (donos dos riscos) no desenho dos controles internos para gerenciamento de riscos;

- Auxiliar a Comissão de Riscos na definição de métricas de mensuração dos riscos; - Prover treinamentos relacionados à Gestão de Riscos.

5.1 - Política de gerenciamento de riscos

Áreas de Negócios:

- Monitorar os riscos relacionados às suas atividades e comunicar ao responsável pela Gestão dos Riscos qualquer alteração em seu processo de negócio para que possa ser objeto de análise e/ou identificação de novos riscos;

- Estabelecer controles adequados para gerenciar os riscos e implementar as ações propostas para reduzir a criticidade dos riscos;

- Assegurar que as recomendações sejam efetivamente seguidas e que eventuais desvios de políticas e dos procedimentos sejam prontamente identificados e reportados.

c) adequação da estrutura operacional e de controles internos para verificação da efetividade da política adotada.

A efetividade dos procedimentos adotados pela Companhia consiste na verificação, supervisão e observação crítica da forma que são executados, envolvendo a criação de relatórios de monitoramento, e verificação de riscos pela área de Gestão de Riscos e revisão de processos pela área de Controles Internos.