Política de Gestão de Riscos

DCA 034/2019 Rev.: 03-31/07/2019 POL-0009-G PÚBLICO

Objetivo: Estabelecer diretrizes e orientações para a gestão integrada global dos riscos potenciais aos
quais as entidades do Sistema Vale estão expostas.

Aplicação:
• Esta Política se aplica à Vale e às suas controladas 100% e deverá ser reproduzida nas suas controladas diretas e
indiretas, sempre respeitando seus documentos constitutivos e a legislação aplicável. Sua adoção é estimulada nas
demais entidades nas quais a Vale tem participação societária. Esse conjunto de entidades, para efeitos dessa
Política, é denominado “Sistema Vale”.

Referências:
• POL-0001-G – Código de Conduta Ética
• POL-0016-G – Política Anticorrupção
• POL-0025-G – Política de Conformidade a Sanções

Princípios e Diretrizes:
A gestão de riscos deve:
• Apoiar o planejamento estratégico, o orçamento e a sustentabilidade dos negócios do Sistema Vale.
• Fortalecer a estrutura de capital e a gestão de ativos do Sistema Vale, inserindo os conceitos e critérios de gestão
com base no risco em perspectiva na operação e manutenção dos ativos e modais de logística.
• Fortalecer as práticas de governança da Vale, baseadas no conceito de Linhas de Defesa.
• Adotar os conceitos da ISO 31000, ISO 55000 e do COSO-ERM como referência na gestão de riscos. Para a
Segurança Operacional, adotar como sistema de gerenciamento de segurança operacional o RBPS (Risk Based
Process Safety).
• Mensurar e monitorar os riscos potenciais do Sistema Vale de forma consolidada, considerando-se os efeitos da
diversificação, quando aplicável, de seu conjunto de negócios.
• Estabelecer estrutura especializada para atuação dedicada e independente, como 2ª Linha de Defesa Especialista,
na avaliação dos potenciais riscos operacionais, incluindo os riscos geotécnicos.
• Avaliar os reflexos no mapa e na tolerância a riscos do Sistema Vale quando da decisão de novos investimentos,
aquisições e desinvestimentos.

Conceito de Risco:
• Risco é o efeito da incerteza sobre os objetivos organizacionais, que se manifesta de muitas formas e com potencial
impacto sobre todas as dimensões dos negócios.
• A gestão de riscos de negócio tem foco nos potenciais riscos relevantes que, em caso de ocorrência, possam
impactar pessoas, comunidades, meio ambiente, continuidade operacional, reputação e a realização dos objetivos
gerais de negócio da empresa.

Mapa Integrado de Riscos:

• O Mapa Integrado de Riscos é um instrumento, não exaustivo, que contém o conjunto de potenciais temas de
riscos aprovados pelo Conselho de Administração, por recomendação da Diretoria Executiva, que necessitam ser
avaliados quanto à sua aplicabilidade nas unidades da Vale nas diferentes geografias em suas áreas operacionais,
comerciais, de projetos, de suporte e administrativas, sendo os mesmos distribuídos em categorias, que incluem,
mas não se limitam a estratégica, financeira, operacional, cibernética e conformidade.
• Periodicamente, no mínimo uma vez ao ano ou quando solicitado, os temas do Mapa Integrado de Riscos devem
ser avaliados e validados pelo Conselho de Administração da Vale, por recomendação da Diretoria Executiva,
podendo ser mantidos, revisados, excluídos ou acrescentados.

- 1 de 5 -
Política de Gestão de Riscos

DCA 034/2019 Rev.: 03-31/07/2019 POL-0009-G PÚBLICO

Matriz de Riscos:
• A Matriz de Riscos propicia comparações entre os eventos de risco potencial, permitindo a priorização para
tratamento preventivo dos riscos. A Matriz é definida e preenchida com cada evento de risco potencial, de acordo
com o cruzamento entre a severidade do impacto e a probabilidade.
• As tabelas de Severidade e de Probabilidade constantes do capítulo “Gestão de Riscos”, da Norma de
Planejamento, Desenvolvimento e Gestão (NFN-0001), são ferramentas que auxiliam a avaliação em perspectiva
dos riscos e a priorização quanto ao seu tratamento preventivo e visam minimizar as subjetividades e padronizar as
avaliações, tornando-as comparáveis e permitindo o atendimento dos requisitos legais aplicáveis para os cenários
operacionais e empresariais.
• Utiliza-se a tabela de Severidade para avaliar a severidade progressiva dos impactos, em diferentes dimensões que
incluem a Financeira, Social e Direitos Humanos, Reputacional, Meio Ambiente, Saúde e Segurança Ocupacional e
Segurança de Processo.
• Utiliza-se a tabela de Probabilidade para estimar estatisticamente a probabilidade teórica de ocorrência de um
risco, desde que possuam racionais passíveis de serem auditados. Nas demais situações será considerada a melhor
avaliação por parte do dono do risco (1ª Linha de Defesa) quanto à eventual probabilidade de ocorrência de um
evento de risco.
• Para eventos de severidade Muito Crítica, com potencial de interrupção permanente do negócio, os mesmos
deverão ser monitorados independentemente de qualquer critério de probabilidade.

Tolerância a Riscos:
• Cabe à Diretoria Executiva propor ao Conselho de Administração da Vale a tolerância a risco para cada quadrante
da Matriz de Riscos, estabelecendo os quadrantes correspondentes ao nível inaceitável de riscos e os quadrantes
correspondentes ao nível de monitoramento contínuo. Para estes níveis deve-se realizar estudos semiquantitativos
ou quantitativos de risco para confirmar a frequência do cenário.
• A Diretoria Executiva deve promover a redução ou a eliminação dos riscos classificados no nível inaceitável da
Matriz de Riscos, mediante: (i) ações adicionais de mitigação e prevenção; (ii) transferência ou compartilhamento
total ou parcial do risco; ou (iii) rejeição do risco, por exemplo mediante fechamento temporário ou definitivo de
uma planta ou encerramento de uma atividade.
• Para os riscos no nível de monitoramento contínuo da Matriz de Riscos, o dono do risco (1ª Linha de Defesa) deve
garantir a efetividade dos controles e a tempestividade dos planos de ação.
• Nos demais níveis da Matriz de Riscos o dono do risco (1ª Linha de Defesa) deve controlar e prevenir através de
elementos críticos de controle (barreiras), gerenciar através do sistema de segurança de processo e/ou monitorar
através de indicadores proativos e reativos, e, solicitar suporte à 2ª Linha de Defesa Especialista sempre que julgar
necessário.

Estrutura de Governança de Gestão de Riscos:

• A Vale possui um fluxo integrado de Governança de Gestão de Riscos, baseado no conceito de Linhas de Defesa,
que representa como são realizadas reavaliações periódicas para garantir o alinhamento entre as decisões
estratégicas, performance, definição e monitoramento dos limites de tolerância dos riscos aprovados pelo
Conselho de Administração, por recomendação da Diretoria Executiva.

Governança Geral
• O Conselho de Administração conta, para seu assessoramento, com comitês que, em linhas gerais, são
responsáveis por monitorar o escopo de atuação e efetividade da gestão de riscos de negócio em linha com as
diretrizes estabelecidas pelo Conselho de Administração da Vale e por atuar preventivamente no endereçamento
dos riscos apresentados nas reuniões dos comitês.
• Os Comitês Executivos de Riscos de Negócios, criados pelo Conselho de Administração da Vale, são divididos em 4
(quatro) comitês com escopo de atuação distinta: (i) Riscos Operacionais, (ii) Riscos Geotécnicos, (iii) Riscos
Estratégicos, Financeiros e Cibernéticos e (iv) Riscos de Conformidade.
• Os Comitês Executivos de Riscos de Negócios devem:
• Promover a Cultura de Gestão de Riscos de Negócios na companhia.

- 2 de 5 -
Política de Gestão de Riscos

DCA 034/2019 Rev.: 03-31/07/2019 POL-0009-G PÚBLICO

• Apoiar a 1ª Linha de Defesa quanto às solicitações adicionais de recursos humanos, financeiros e de qualquer
outra natureza para a adequada gestão e prevenção dos riscos potenciais, e, em particular para a redução ou a
eliminação dos riscos classificados como nível inaceitável e na efetividade dos controles e na tempestividade dos
planos de ação para os riscos do nível de monitoramento contínuo.
• Apoiar a Diretoria Executiva da Vale no acompanhamento dos riscos de negócios operacionais, cibernéticos,
geotécnicos, estratégicos, financeiros e de conformidade e emitir recomendações preventivas referentes aos
potenciais riscos pautados nas reuniões dos referidos comitês.
• Recomendar revisões nos princípios e instrumentos de gestão de riscos, visando a melhoria continua do
processo.
• Avaliar e sugerir, quando necessário, alterações na estratégia de gestão de riscos de negócios para posterior
aprovação da Diretoria Executiva.
• Oferecer à Diretoria Executiva visão macro consolidada da exposição a riscos potenciais do Sistema Vale nas
dimensões Operacional e Cibernética, Estratégica e Financeira ou de Conformidade, conforme o caso, e apoiar
na elaboração do Plano Plurianual de Gestão de Riscos.
• Propor, quando necessário, gestão de consequências para eventual descumprimento de planos de ação oriundos
das recomendações destes comitês e da Diretoria Executiva, no tocante a riscos.

Diretoria Executiva da Vale

• Acompanhar a gestão dos riscos de negócio sistematicamente.
• Promover a cultura de riscos de negócio na organização e o fortalecimento das 1ª e 2ª Linhas de Defesa.
• Apoiar a organização, incluindo o dono do risco (1ª Linha de Defesa) e a 2ª Linha de Defesa, com recursos humanos,
financeiros e de qualquer natureza, mediante deliberações sob sua alçada, com vistas à redução ou à eliminação
dos riscos de nível inaceitável e para garantir que os riscos de nível de monitoramento contínuo tenham controles e
planos de ação efetivos.
• Anualmente, propor ao Conselho de Administração o Plano Plurianual de Gestão de Riscos, contemplando a
necessidade consolidada de investimento corrente e outros recursos necessários para a mitigação de riscos
potenciais.

1ª Linha de Defesa
É formada pelos donos dos riscos, ou seja, os responsáveis diretos por manter os riscos nos limites de tolerância
definidos na Vale, e pelos executores dos processos das áreas operacionais, comerciais, de projetos, de suporte e
administrativas. Detém a responsabilidade primária e gerenciam diretamente os riscos, identificando, avaliando,
tratando, prevenindo e monitorando seus riscos de forma integrada.

Responsabilidades da 1ª Linha de Defesa:

• Implementar e executar controles efetivos de prevenção e de mitigação, garantir adequada definição e execução
dos planos de ação e estabelecer ações corretivas para a melhoria contínua da gestão de riscos.
• Avaliar continuamente a aplicabilidade dos temas de riscos do Mapa Integrado de Riscos às atividades e geografias
sob sua responsabilidade.
• Recomendar ajustes no Mapa Integrado de Riscos quando julgar necessário e garantir o registro dos riscos nas
hipóteses em que os mesmos não se enquadrem nos temas de riscos existentes no mapa vigente.
• Assegurar a conformidade com regulamentações externas, políticas e normas internas.
• Operar e manter a integridade e a confiabilidade dos ativos, devendo desenvolver, implementar e garantir a
performance dos ativos, tanto de operações, de projetos, de atividades de suporte e administrativas. Tem o dever
de parar imediatamente a operação do(s) ativo(s) no(s) caso(s) de desvios críticos ou nos casos de
indisponibilidade, parcial ou total, dos elementos críticos de controle que desloquem o risco para nível de risco
inaceitável.
• Implantar e executar, de forma proativa, quaisquer ações de mitigação ou de eliminação que julgar necessário, de
transferência ou de compartilhamento ou de rejeição dos riscos de nível inaceitável.
• Assegurar, para riscos no nível de monitoramento contínuo, a efetividade dos controles e a tempestividade dos
planos de ação.
• Quando julgar necessário, solicitar suporte adicional para evoluir no tratamento preventivo dos riscos sob sua
responsabilidade, e pautar a solicitação no(s) Comitê(s) Executivo(s) de Riscos de Negócios para endereçamento.

- 3 de 5 -
Política de Gestão de Riscos

DCA 034/2019 Rev.: 03-31/07/2019 POL-0009-G PÚBLICO

• Na hipótese de riscos iminentes a 1ª Linha de Defesa deve adotar imediata e proativamente as ações corretivas que
julgar adequadas, sem necessidade de obter autorizações prévias. Posteriormente, se necessário algum suporte
acima das alçadas estabelecidas, encaminhar diretamente à Diretoria Executiva o pedido correspondente.
• Na hipótese em que o risco iminente seja também um risco de nível inaceitável, a 1ª Linha de Defesa deve avocar
para si alçadas de decisão superiores para a aprovação de medidas emergenciais. Posteriormente, tais medidas, se
adotadas, deverão ser submetidas à ratificação na alçada competente.
• Estabelecer e implementar protocolos de Gestão de Crise e planos de Continuidade de Negócio para os riscos sob
sua responsabilidade, classificados como de severidade Muito Crítica e Crítica, e, para os demais riscos, sempre que
aplicável. Para riscos com impactos Muito Crítico e Crítico, devem ser realizados simulados com o objetivo de
verificar a eficiência e a eficácia dos protocolos de Gestão de Crises. A periodicidade dos simulados deverá ser
definida pela 1ª Linha de Defesa em função da criticidade, observando-se regras locais e especificidades da
legislação.
• Atender as diretrizes, padrões técnicos e de gestão mínimos definidos pelas 2ª Linhas de Defesa.
• Certificar (sign off), anualmente ou sob demanda, que os riscos de severidade Muito Crítica e Crítica relacionados
aos processos sob sua responsabilidade estão adequadamente identificados, avaliados e registrados no sistema de
gestão de riscos da Vale. Deve atestar que os controles foram implementados, são devidamente executados e
monitorados em consonância com as diretrizes estabelecidas. Adicionalmente, deve garantir que os planos de ação
enderecem as fragilidades e sejam adequadamente acompanhados quanto ao prazo esperado de implementação.

2ª Linhas de Defesa

Enterprise Risk Management (ERM) - Gestão Integrada de Riscos de Negócio

No tocante à gestão de riscos de negócio, a estrutura de Enterprise Risk Management (ERM) tem as seguintes
responsabilidades:

• Desenvolver e implementar as políticas, as metodologias, os processos e a infraestrutura para a gestão integrada

de riscos.
• Suportar o trabalho da 1ª Linha de Defesa, fornecendo capacitação e instrumentação para o gerenciamento e
prevenção dos riscos.
• Apoiar e promover a troca de conhecimentos e informações, a fim de disseminar a cultura de gestão e de
prevenção de riscos na organização.
• Suportar e monitorar o cumprimento do modelo de governança de riscos de negócio.
• Suportar a divulgação externa de informações oficiais referentes à gestão de riscos de negócio.
• Reportar nas reuniões do(s) Comitê(s) Executivo(s) de Riscos de Negócio da Vale sobre o Mapa Integrado de Riscos,
considerando-se a situação dos controles e dos planos de ação de riscos de negócio.
• Consolidar as deliberações dos Comitês Executivos de Riscos de Negócios para encaminhamento à Diretoria
Executiva, bem como acompanhar a conclusão das recomendações, cabendo às 2ª Linhas de Defesa Especialistas
avaliar a efetividade técnica das mesmas, quando aplicável.
• Coordenar a certificação (sign off) dos riscos de severidade Muito Crítica e Crítica a serem realizados, anualmente
ou sob demanda, pela 1ª Linha de Defesa.

A área de Enterprise Risk Management (ERM) ficará subordinada ao Diretor Executivo responsável por Finanças e
Relações com Investidores da Vale.

Segurança e Excelência Operacional - Gestão de Riscos Operacionais

Para fins desta Política, a gestão de risco operacional, de responsabilidade da Diretoria Executiva de Segurança e
Excelência Operacional, corresponde à atuação como 2ª Linha de Defesa Especialista sobre riscos potenciais com
impactos nas dimensões de Saúde, de Segurança Ocupacional e de Segurança de Processo, e ainda nos potenciais
riscos de geotecnia, cujas responsabilidades são:

• Atuar como eixo técnico na definição de padrões e normas para o gerenciamento de Segurança Ocupacional, de
processos industriais e de geotecnia.
• Atuar como normatizador e fiscalizador no processo de gestão dos ativos críticos.

- 4 de 5 -
Política de Gestão de Riscos

DCA 034/2019 Rev.: 03-31/07/2019 POL-0009-G PÚBLICO

• Manter o sistema de gestão integrado que garanta uniformidade na aplicação de normas e boas práticas de gestão
operacional.

2ª Linhas de Defesa Especialista

Além da Diretoria Executiva de Segurança e Excelência Operacional, que é a 2ª Linha de Defesa para Riscos
Operacionais, há áreas como Meio Ambiente, Integridade Corporativa e Segurança da Informação que também
devem atuar como 2ª Linha de Defesa Especialista dos respectivos riscos potenciais.

Todas as 2ª Linhas de Defesa Especialista possuem as seguintes atribuições:

• Atuar dentro das diretrizes corporativas de gestão e de prevenção de riscos estabelecidas pela área de Enterprise
Risk Management (ERM).
• Definir metodologias, padrões técnicos, tecnológicos e de gestão mínimos, indicadores de riscos e de confiabilidade
de ativos a serem adotados mandatoriamente pela 1ª Linha de Defesa.
• Instrumentar e capacitar a 1ª Linha de Defesa, suportando sua evolução na gestão e na prevenção dos riscos
específicos.
• Definir a priorização de elementos críticos de controle e testar a integridade dos mesmos.
• Apoiar na identificação dos desvios e riscos e emitir recomendações, dar suporte na implementação do modelo e
de padrões de gestão e de prevenção de riscos e de ativos.
• Inspecionar a aplicação dos padrões e indicadores e avaliar a execução das áreas operacionais, comerciais, de
projetos, de suporte e administrativas (1ª Linha de Defesa), com independência e transparência.
• Estabelecer um sistema integrado de gestão operacional mandatório.
• Avaliar a efetividade dos controles, relacionados a riscos potenciais relevantes, executados pela 1ª Linha de Defesa.
Em caso(s) de desvio(s) crítico(s), tem o poder de definir ações imediatas a serem implementadas pela 1ª Linha de
Defesa, podendo tomar a decisão pela parada da operação do(s) ativo(s).
• Pautar potenciais riscos relevantes nos Comitês Executivos específicos, caso sejam necessárias deliberações de
ações preventivas que demandem suporte adicional.

A definição de quais áreas da organização irão atuar como 2ª Linha de Defesa Especialista fica delegada à Diretoria
Executiva da Vale.

3ª Linha de Defesa
• A 3ª Linha de Defesa é composta por áreas com total independência da administração, isto é, a Auditoria Interna e
a Ouvidoria que realizam, observadas suas respectivas áreas de atuação, avaliações, inspeções, através da
execução de testes de controles e apuração de denúncias, proporcionando asseguração isenta, inclusive sobre a
efetividade da gestão e da prevenção de riscos, de controles internos e de conformidade.

Disposições Gerais
• O Conselho de Administração da Vale delega à Diretoria Executiva da Vale a aprovação dos desdobramentos dessa
Política em regras e responsabilidades direcionadas ao gerenciamento e controle de riscos, com o foco de evitar a
todo custo a ocorrência de acidentes indesejados de MUE (Major Unwanted Event).
• Esta Política deverá ser revisada periodicamente, no mínimo 1 (uma) vez a cada 3 (três) anos ou sob demanda.

- 5 de 5 -