1. Resumo

A gestão dos riscos é uma parte essencial e integral do planeamento estratégico do negócio e da tomada de decisões que ajuda a atingir os objetivos e reforçar a capacidade de responder aos desafios enfrentados.

O risco é inerente a tudo o que fazemos e a Noventiq, por ser uma organização global em crescimento, deve estar consciente dos seus riscos, a fim de ser bem-sucedida e sustentável.

Para ser eficaz, a organização deve avaliar as incertezas e implicações dentro das opções,
bem como gerir o impacto uma vez que as escolhas sejam feitas. Quando a gestão de risco é bem feita e é eficaz pode também dar-nos uma vantagem competitiva; os nossos clientes procuram um parceiro em que possam confiar para os ajudar a gerir os seus próprios riscos, por isso, se pudermos gerir os riscos melhor do que os nossos concorrentes, isso pode ajudar-nos a aumentar as oportunidades de crescimento.

Como em todos os aspetos da boa governança, a eficácia da gestão dos riscos depende dos indivíduos responsáveis pelo funcionamento dos sistemas postos em prática. A nossa cultura de risco incentiva a abertura, apoia a transparência, o desafio construtivo e promove a colaboração, consulta e cooperação.

2. Âmbito da Gestão de Riscos Empresariais

A gestão do risco empresarial deve ser considerada em relação aos objetivos estratégicos,
táticos e operacionais. Por conseguinte, incluirá os fatores externos tais como catástrofes
naturais e o ambiente regulador, e fatores internos tais como a nossa liderança e prestação de serviços, tal como apresentados abaixo.

Ambiente

• Político
• Econômico
• Social
• Tecnológico
• Legal
• Ambiental

Estratégico

• Governança
• Partes interessadas
• Riscos emergentes
• Reputação

Legal/Contratual/Regulamentar

• Riscos de parceiros, vendedores e clientes
• Acordos de Propriedade Intelectual
• Contratos, etc.

Operacional
• Pessoas
• Processos
• Sistemas, por exemplo, Segurança da Informação, Cadeia de Fornecimento, Financeiro

3. Obetivo do presente Documento e Público-alvo

O objetivo deste documento é estabelecer os requisitos-chave para a gestão de riscos de Noventiq com o foco na gestão e enquadramento do risco empresarial. O documento destina-se a:

• Membros Executivos e Não-Executivos do Conselho de Administração
• Membros do Comitê de Auditoria de Risco
• Regional Compliance Business Partner
• Liderança
• Praticantes do risco
• Responsáveis por políticas & etc.

Embora as partes interessadas identificadas acima sejam a chave para uma gestão e liderança eficazes do risco, cada funcionário da Noventiq, independentemente da sua posição, deve pensar que a gestão do risco é um aspeto importante do seu papel e da cultura da Noventiq.

4. Termos e definições

Quaisquer termos definidos nesta Política estão em negrito. Os termos definidos utilizados nesta Política devem ter os significados seguintes.

O risco é o "efeito da incerteza dos objetivos". Os efeitos podem ser negativos, positivos ou ambos. O risco é geralmente expresso em termos de causas, eventos potenciais e seus efeitos.

A Gestão do Risco é um processo aplicado na definição de estratégias e em toda a
empresa com objetivo de: (i) identificar os eventos potenciais que possam afetar a
organização e causar perdas significativas; (ii) gerir os riscos empresariais priorizados de
forma a estarem dentro do nível de riscos aceitável pela empresa; (iii) fornecer uma garantia razoável com relação à realização dos objetivos da empresa às partes interessadas internas e externas.

Risco Empresarial é um risco ou combinação de riscos que pode afetar seriamente o
desempenho, as perspetivas futuras ou a reputação da organização.

O objetivo da Gestão de Risco Empresarial é a melhoria contínua que permite à organização atingir os seus objetivos estratégicos, cumprir os requisitos regulamentares e proteger a reputação através de: (i) supervisão empresarial da saúde da organização; (ii) tomada de decisões eficiente (iii) fornecimento de orientação estratégica para gerir de maneira eficaz os riscos empresariais em toda a organização; (iv) promoção da responsabilização e do desempenho.

O Framework é o conjunto de informações e princípios que formam a estrutura da
abordagem de uma organização para gerir processos sistêmicos.

A Estratégia de Mitigação de Riscos envolve a tomada de medidas para reduzir a exposição de uma organização a riscos potenciais e reduzir a probabilidade de que esses riscos voltem a acontecer.

A Governança é o sistema pelo qual a organização é dirigida e controlada. Tem a ver com a estrutura e processos para a tomada de decisões, responsabilidade, controle e comportamento no topo da organização.

O Comitê é um grupo de pessoas convocadas para a realização de algum objetivo específico, normalmente com protocolos formais.

Unidade de Negócio Global na Noventiq é uma parte de uma organização que representa uma linha de negócio específica e faz parte da cadeia de valores de atividades de uma empresa, incluindo operações, contabilidade, recursos humanos, marketing, vendas, e funções da cadeia de fornecimento, por exemplo, Noventiq & CIS, Noventiq International & Axoft. Existem outras estruturas regionais, nacionais e/ou de clusters por baixo dessas Unidades de Negócio Globais.

Noventiq significa a Noventiq Holding PLC (ou qualquer sucessora) e qualquer entidade, operação ou investimento com mais de 50% de propriedade da Noventiq Holding PLC

5. Quadro de Gestão de Riscos Empresariais

O quadro de gestão de riscos apoia a identificação e gestão consistente e robusta das oportunidades e riscos dentro dos níveis desejados numa organização, apoiando a abertura, o desafio, a inovação e a excelência na realização dos objetivos. Para que o quadro de gestão de risco seja considerado eficaz, os seguintes princípios devem ser aplicados:

   a. A gestão de riscos será uma parte essencial da governança e liderança, e fundamental para a forma como a organização é dirigida, gerida e controlada a todos os níveis.
   b. A gestão de riscos será parte integrante de todas as atividades organizacionais para apoiar a tomada de decisões para atingir os objetivos.
   c. A gestão dos riscos deve ser colaborativa e informada pelas melhores informações e conhecimentos disponíveis.

Os processos de gestão de risco devem ser estruturados de modo a incluir:

   a. identificação e avaliação do risco para determinar e priorizar a forma como os riscos devem ser geridos;
   b. a seleção, design e implementação de opções de tratamento de riscos que contribuem para a obtenção dos resultados pretendidos e a gestão dos riscos a um nível aceitável;
   c. o design e funcionamento de uma monitoração de riscos integrada, perspicaz e informativa; e
   d. oportunamente, relatórios de risco precisos e úteis para melhorar a qualidade da tomada de decisões e para apoiar os órgãos de gestão e supervisão no cumprimento das suas responsabilidades.
   e. A gestão dos riscos deve ser continuamente melhorada através da aprendizagem e da experiência.

6. Requisitos de Governança da Gestão de Riscos Empresariais do Noventiq

6.1 Conselho de Administração (BoD)

O Conselho de Administração é responsável pela gestão dos negócios da organização: (i) tomada de decisões estratégicas e operacionais, (ii) garantia de que Noventiq cumpre as suas obrigações estatutárias.

6.2 Comitê de Auditoria e Risco (ARC)

O Comitê de Auditoria e Risco é responsável por auxiliar o Conselho de Administração na monitoração do quadro geral de gestão de riscos, dos relatórios financeiros, dos processos de ética e Compliance, do desempenho dos auditores e supervisão do programa de auditoria.

6.3 Comitê de Supervisão de Riscos e Compliance (ROCC)

O papel principal do Comitê de Supervisão de Riscos é promover, supervisionar e melhorar ainda mais uma cultura de adesão aos padrões de Gestão de Riscos Empresariais, Ética e Compliance dentro da Noventiq:

• Todos os anos, o Comitê analisa os riscos externos, internos, operacionais, legais e de Compliance que Noventiq enfrenta e acorda uma lista dos "Riscos Empresariais" mais significativos.
• As estratégias de risco empresarial são mantidas para os riscos identificados pelo Comitê que requerem uma coordenação particular através da Noventiq. Cada Risco Empresarial tem um líder sênior designado como o patrocinador do Risco Empresarial, que será responsável pelo seguinte:

   o Estabelecimento da estrutura de governança
   o Patrocínio, estabelecimento e gestão da estratégia de mitigação do risco empresarial
   o Aprovação ou pedido de aprovação do Comitê das respectivas normas e controles escritos
   o Supervisão da entrega da estratégia de mitigação de risco de acordo com o cronograma estabelecido
   o Reportar acerca da situação da estratégia de mitigação de risco

Patrocinador do risco empresarial identificará a Pessoa Responsável Sênior subsequente que irá:

   o Estabelecer e gerir a estratégia de mitigação do risco empresarial
   o Possuir a estratégia de mitigação de risco e entregar conforme o cronograma estabelecido
   o Apoiar/gerir a estrutura de governança
   o Padrões e controlos escritos: criação/atualização, comunicação e treinamento
   o Envolver-se com o negócio e as funções para avaliar o risco
   o Gerir e monitorar a situação da estratégia de mitigação para a elaboração de relatórios

• O Comitê tem a responsabilidade de supervisionar a gestão de riscos e os sistemas de controle interno para os nossos Riscos Empresariais. Isto inclui assegurar a existência de um processo robusto para a empresa poder identificar os riscos que são significativos para a empresa e monitorar a eficácia dos controles internos implementados para gerir esses riscos.
• O Comitê garante a comunicação oportuna e adequada e a escalada dos riscos ao Conselho de Administração da Noventiq através do Comitê de Auditoria e Risco.
• Os desafios empresariais significativos devem ser considerados como parte dos processos de planejamento anual (por exemplo, estratégico, financeiro), incluindo qualquer impacto que estes planos possam ter na gestão dos Riscos Empresariais.
• Mais detalhes estão incluídos nos Termos de Referência do Comitê de Fiscalização de Risco.

6.4 Comitê de Gestão de Risco e Compliance

• As Unidades de Negócio Globais são responsáveis pela criação da estrutura hierárquica mais eficaz dos Comitês de Gestão de Riscos e Compliance, por exemplo, regionais e/ou nacionais e etc., para assegurar uma gestão de riscos adequada e a implementação de controles internos para riscos empresariais relevantes no seu âmbito de responsabilização, incluindo a avaliação e monitoração da eficácia dos controles.
• Os Comitês podem optar por designar os Donos do Risco para cada Risco da empresa em um território e alinhar as suas atividades para apoiar as estratégias de risco empresarial. Os Comitês analisam cada risco empresarial aplicável pelo menos uma vez por ano.
• Os Comitês reúnem-se pelo menos trimestralmente para analisar a mitigação dos riscos aplicáveis e discutir os riscos emergentes no ambiente externo ou interno.
• A adesão ao Comitê deve incluir a representação para todas as partes principais das unidades operacionais de negócio, por exemplo, Comercial, TI, RH, Finanças & etc., conforme acordado com o seu Regional Compliance Business Partner e respetivo membro do Comitê (conforme necessário).
• O enquadramento inclui um mecanismo para assegurar que os funcionários assumam a responsabilidade de identificar e escalar os riscos encontrados, para que possam ser geridos adequadamente.
• Os Chefes das Unidades de Negócios Globais reportam anualmente ao Comitê e/ou ao Comitê de Auditoria de Risco sobre a sua supervisão, incluindo a forma como as suas atividades apoiam as estratégias de risco empresarial aplicáveis.

6.5 Ética Global e Compliance & Gestão de Riscos Empresariais

O Diretor Global de Compliance compila um relatório anual sobre a implementação da gestão de risco e controle interno para o Comitê, Conselho de Administração através do Comitê de Auditoria de Risco e este relatório contribuirá para o Relatório Anual de Risco da Noventiq, destinado aos reguladores e investidores.

O Diretor de Gestão do Risco Empresarial que reporta ao Diretor Global de Compliance define o quadro de gestão de risco da empresa depois de consultar os líderes empresariais de topo e as etapas de avaliação do risco (identificação, análise e avaliação), tratamento adequado do risco em linha com o risco colocado, e monitoração e revisão dos riscos para assegurar que o risco é adequadamente mitigado.

O Regional Compliance Business Partner apoiará a empresa na implementação de um sistema robusto de gestão de risco e controle interno.

7. Histórico de Revisões

Baixe a Política Global da Noventiq sobre Gestão de Risco Empresarial