Política de Gestão de Riscos Corporativos e Controles Internos
Clique aqui para acessar o PDF.
Histórico de Revisões
Versão: | Data de Revisão: | Histórico: |
01 | 20/04/2017 | Elaboração do Documento. Esta política substitui a antiga PLT_007 Gestão de Riscos Corporativos. |
02 | 20/02/2018 | Alteração do título de “Gerenciamento integrado de riscos corporativos, controles internos e compliance” para “Gestão de Riscos Corporativos e Controles Internos”; Atualização de todo conteúdo da política em consonância com as atuais práticas da Cielo. |
03 | 23/01/2020 | Inclusão da Servinet Serviços Ltda, Aliança Pagamentos e Participações Ltda e Stelo S.A na abrangência desta Política. Inclusão das diretrizes 1.4 de controles internos, 3.5 e 3.6 de risco operacional, 5.1 e 5.2 de risco estratégico, 6.1 e 6.2 de risco de reputação. Inclusão do item 8 sobre risco de lavagem de dinheiro e financiamento ao terrorismo e do item 9 sobre o risco de conformidade. Revisão textual das diretrizes 1.1, 1.3, 1.5, 2.1, 2.3, 2.4, 2.5, 3.1, 3.5, 3.6, 4.1, 4.2, 5.6 e 6.4. Revisão do item responsabilidades. |
04 | 25/02/2021 | Ajustes redacionais nos itens: Objetivo (I), Abrangência (II), Diretrizes (III), Responsabilidades (V), Documentação Complementar (VI) e Conceitos e Siglas (VII). Ajustes relevantes nos itens: Diretrizes (III): Inclusão da diretriz 1 sobre a gestão do apetite a riscos; junção dos riscos não financeiros na diretriz 4; junção das diretrizes e responsabilidades presentes na Política de Gerenciamento de Risco de Crédito, Liquidez e Mercado. Responsabilidades (V): inclusão novas responsabilidades para a Diretoria de Riscos, Compliance, Prevenção e Segurança. Documentação Complementar (VI): Inclusão da Política Anticorrupção e remoção da Política de Gerenciamento de Riscos de Crédito, Liquidez e Mercado. Conceitos e Siglas (VII): Inclusão das definições: comitê de riscos; riscos não financeiros; default; plano de contingência de liquidez; reserva financeira; riscos e oportunidades emergentes; risco de crédito, risco de liquidez; risco de mercado; sistema de controles; sociedades coligadas; sociedades controladas; subcredenciador; e, vendas diferidas. |
05 | 08/04/2022 | Atualização dos itens: I. Objetivo, II. Abrangência, III. Diretrizes subitens 1, 1.2, 1.3, 2, 2.1, 2.2, 3, 3.1, 3.2, 3.3, 4, 4.1, 5.6, 6.5, 6.6, 6.7, 6.8, 6.9, 7.4, 8.8, 10.1, 11.1, 12.1, 13, 13.1, 14, 14.1, V. Gestão de Consequências, VI. Responsabilidades, VII. Documentação Complementar, VIII. Conceitos e Siglas e IX. Disposições Gerais. |
06 | 29/03/2023 | Atualização dos itens: I. Objetivo, II. Abrangência, III. Diretrizes subitens 1.1, 1.3, 1.4, 2.1, 2.2, 3.1, 3.2, 3.3, 3.4, 4.1, 5.1, 5.2, 5.3, 5.6, 6.1, 6.5, 6.6, 6.8, 7.1, 7.4, 8.1, 8.4, 8.5, 8.8, 9.1, 13, 13.1, 14, 14.1, V. Gestão de Consequências, VI. Responsabilidades, VII. Documentação Complementar e VIII. Conceitos e Siglas. |
07 | 27/03/2024 | Reordenação dos tópicos do item III. Diretrizes e atualização dos itens: II. Abrangência, III. Diretrizes subitens 1.1, 1.3, 1.5, 2, 2.1, 3.2, 3.5, 4.2, 4.3, 5.6, 7.3, 7.4, 9.1.1, 16, V. Gestão de Consequências, VI. Responsabilidades, VII. Documentação Complementar e VIII. Conceitos e Siglas. |
I. Objetivo
Estabelecer as principais diretrizes relacionadas ao gerenciamento de riscos corporativos e aos controles internos, em atendimento às regulamentações aplicáveis e boas práticas de mercado, com vistas à proteção e perpetuação dos negócios e à preservação do valor e da liquidez das moedas eletrônicas emitidas.
II. Abrangência
Todos os membros do Conselho de Administração e da Diretoria-Executiva (“Administradores”); membros dos Comitês de Assessoramento e do Conselho Fiscal; colaboradores, incluindo terceirizados, estagiários e jovens aprendizes (“Colaboradores”) das empresas Cielo S.A. – Instituição de Pagamento (“Cielo”), Servinet Serviços Ltda.(“Servinet”), Aliança Pagamentos e Participações Ltda (“Aliança”) e Stelo S.A. (“Stelo”), doravante denominadas, em conjunto, “Companhia”.
Todas as Sociedades Controladas da Companhia devem definir seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.
Em relação às Sociedades Coligadas, os representantes da Companhia que atuem na administração das Sociedades Coligadas devem envidar esforços para que elas definam seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.
III. Diretrizes
1. Sobre a gestão corporativa de riscos, a Companhia:
1.1. Revisa, anualmente, ou extraordinariamente quando se fizer necessário, sua declaração de apetite a riscos, incluindo as métricas utilizadas para os limites estabelecidos, bem como monitora e reporta os indicadores de apetite e tolerância a riscos às instâncias da Governança de Gestão de Riscos.
1.2. Revisa, anualmente, ou extraordinariamente quando se demonstrar necessário, o seu inventário de riscos corporativos considerando fatores internos e externos que possam afetar adversamente a realização dos objetivos estratégicos.
1.3. Avalia, anualmente, ou extraordinariamente quando se fizer necessário, os riscos corporativos e minimamente semestralmente, aqueles riscos mais relevantes para a Companhia, sob os aspectos de probabilidade e impacto potencial, mantendo assim o seu inventário atualizado, contemplando possíveis riscos não abordados em períodos anteriores.
1.4. Busca o aperfeiçoamento contínuo de suas práticas e respectivas ações relacionadas à identificação, mensuração e avaliação, monitoramento, mitigação e reporte dos riscos corporativos.
1.5. Promove o aculturamento sobre o tema de gestão de riscos.
2. Sobre os itens 3, 4, 5, 7 e sobre o gerenciamento de risco de mercado, a Companhia:
2.1. Possui uma metodologia interna baseada em modelos e guias de boas práticas de mercado (“metodologia”) que fornece subsídios para (a) identificar; (b) avaliar e mensurar; (c) mitigar; (d) monitorar; e (e) reportar às instâncias de Governança de Gestão de Riscos da Companhia os riscos e oportunidades aos quais a Companhia está exposta, seja para fins informativos ou deliberativos, conforme o caso.
2.2. Mantém à disposição dos órgãos reguladores a documentação das políticas e estratégias de gerenciamento de riscos.
3. Sobre a gestão dos Controles Internos, a Companhia:
3.1. Estrutura o seu sistema de controles internos de forma compatível com a natureza operacional da Companhia e mantém seus produtos e serviços ao nível de complexidade dos seus negócios, assegurando as segregações e controles necessários para mitigar eventuais conflitos na condução de sua estratégia.
3.2. Identifica e avalia os controles e os riscos inerentes aos processos a partir de critérios qualitativos e/ou quantitativos, os quais consideram aspectos relacionados à imagem, aos requisitos regulatórios e aos impactos financeiros, operacionais, aos clientes e demais stakeholders.
3.3. Avalia continuamente os riscos no ambiente de controles quanto aos aspectos de impacto potencial e, com base na avaliação da vulnerabilidade do ambiente de controle (que compõe a análise de probabilidade de materialização do risco), define o risco residual.
3.4. Endereça planos de ação mitigatórios para reduzir os riscos identificados nos processos.
3.5. Monitora e reporta os resultados obtidos na avaliação do ambiente de controles internos da Companhia às instâncias da Governança de Gestão de Riscos da Companhia para fins informativos ou deliberativos, conforme o caso. Os resultados são formalizados em relatórios que são mantidos à disposição dos órgãos reguladores.
4. Sobre a gestão do risco de crédito, a Companhia:
4.1. Identifica e avalia o risco de crédito dos emissores de cartão, subcredenciadores e eventuais outros participantes ou estabelecimentos comerciais nos termos das regras das bandeiras, definindo os volumes de garantias que devem ser apresentados.
4.2. Identifica e avalia o risco de crédito de clientes com ou sem vendas diferidas, definindo limites para antecipação e elegibilidade para contratação do produto Aquisição de Recebíveis de Venda (“ARV”) e serviço Receba Rápido.
4.3. Pratica os atos necessários à recuperação de créditos, conforme regras a seguir:
- Executa as garantias em caso de descumprimento de obrigação (default) de emissor de cartão, bem como atua junto ao interventor de emissores de cartão sob intervenção, com o intuito de recuperar eventuais valores inadimplidos.
- Executa as garantias de subcredenciadores, bem como de outros participantes ou estabelecimentos comerciais em situações de falta de liquidez.
- Realiza a recuperação de valores da carteira de aplicações financeiras acionando o Fundo Garantidor de Crédito, o interventor e/ou o liquidante de emissor em descumprimento de obrigação (default), conforme o caso.
- Realiza os demais procedimentos aplicáveis para recuperação de créditos de clientes inadimplentes.
5. Sobre o gerenciamento do risco de liquidez, a Companhia:
5.1. Realiza a avaliação do fluxo de caixa frente às principais métricas definidas no Plano de Contingência de Liquidez.
5.2. Respeita os limites de endividamento estabelecidos pelo Conselho de Administração.
5.3. Respeita as metas de liquidez das aplicações financeiras em acordo com a Política de Aplicações Financeiras.
5.4. Assegura o nível de liquidez adequado para o cumprimento das obrigações da Companhia e para a continuidade das operações do produto ARV e do serviço Receba Rápido nos níveis ofertados aos clientes, inclusive com a prévia contratação de linhas de crédito de acesso imediato.
5.5. Assegura a liquidação da grade por bandeira, domicílio, emissores e as moedas apropriadas para a gestão do risco de liquidez, bem como captura possíveis exposições contingentes e inesperadas em sua mensuração.
5.6. Mantém o Plano de Contingência de Liquidez atualizado e aprovado instâncias da Governança de Gestão de Riscos e o aciona de acordo com as regras previamente estabelecidas na Norma de Gerenciamento de Risco de Liquidez.
5.7. Monitora e preserva o valor e a liquidez das moedas eletrônicas emitidas.
6. Sobre a gestão dos requerimentos mínimos de patrimônio de referência, a Companhia:
6.1. Monitora o nível de suficiência do seu patrimônio de referência conforme regulamentação vigente.
7. Sobre a gestão dos riscos não financeiros, a Companhia:
7.1. Realiza a gestão do risco operacional por meio do monitoramento dos limites estabelecidos e da evolução das perdas operacionais, com o objetivo de endereçar planos de ação para adequação do ambiente de controles e reduzir a exposição a este risco.
7.2. Avalia, gerencia e monitora o risco decorrente de serviços terceirizados de processamento e armazenamento de dados e de computação em nuvem relevantes, para seu funcionamento regular, conforme os normativos específicos sobre o tema.
7.3. Realiza a gestão dos riscos e oportunidades sociais, ambientais e climáticos. Esses riscos e oportunidades são associados a fatores Ambientais, Sociais e de Governança (“ASG” ou, em inglês, “ESG – Environmental, Social and Governance”), incluindo os fatores associados às mudanças climáticas e aos direitos humanos.
7.4. Nesse sentido, aplica a metodologia de gestão de riscos não financeiros sobre os aspectos e impactos sociais, ambientais e climáticos de seus processos, operações, produtos e serviços, cujo impacto atinja os diferentes stakeholders em seu ambiente de valor, conforme identificação e priorização dada pela Política de Relacionamento com Partes Interessadas (Stakeholders), e buscando atingir os objetivos e diretrizes descritos na Política de Sustentabilidade, na Política de Diversidade e Inclusão e no Código de Conduta Ética.
7.5. Homologa, contrata e avalia a performance (Programa Vendor Performance), e os riscos dos fornecedores conforme regras estabelecidas no Programa Vendor Risk, no qual são analisados os aspectos de segurança da informação e proteção de dados, continuidade dos negócios, financeiro, trabalhista, socioambiental e reputacionais que possam representar potenciais riscos para a Companhia e seus clientes. Os resultados das avaliações são acompanhados e reportados à Diretoria-Executiva.
7.6. Realiza ciclos anuais de revisão do planejamento estratégico para identificar os principais riscos e oportunidades estratégicas para a Companhia.
7.7. Identifica, monitora e reporta os riscos e oportunidades emergentes, de longo prazo, que podem afetar o cumprimento da sua estratégia e dos seus objetivos de negócio.
7.8. Monitora continuamente sua imagem e seu risco de reputação, por meio de uma metodologia interna desenvolvida, para capturar exposições relacionadas ao tema em mídias sociais e veículos de imprensa, estabelecendo plano de comunicação e/ou posicionamento de marca de acordo com a criticidade da exposição negativa da marca, se houver.
8. Sobre a Segurança Cibernética, a Companhia:
8.1. Mantém revisada e atualizada Política de Segurança da Informação e Cibernética que estabelece as diretrizes, os papéis e responsabilidades para a gestão deste risco.
8.2. Mantém estrutura de governança corporativa de assessoramento à Diretoria- Executiva (“Fórum Gestor de Segurança da Informação e Prevenção à Fraude” e “Fórum de Privacidade e Proteção de Dados”).
9. Sobre a divulgação de informações relevantes aos investidores e às partes interessadas, a Companhia:
9.1. Mantém revisadas e atualizadas as diretrizes, os papéis e responsabilidades nas seguintes políticas:
9.1.1. Política de Relacionamento com Partes Interessadas (Stakeholders);
9.1.2. Política de Divulgação de Ato ou Fato Relevante e Negociação de Valores Mobiliários;
9.1.3. Política de Comunicação;
9.1.4. Política de Transações com Partes Relacionadas e Demais Situações Envolvendo Conflito de Interesses.
10. Sobre a gestão do risco de lavagem de dinheiro e financiamento ao terrorismo (LD/FT), a Companhia:
10.1. Mantém revisada e atualizada Política de Prevenção à Lavagem de Dinheiro e ao Financiamento ao Terrorismo que estabelece as diretrizes, os papéis e responsabilidades para a gestão destes riscos.
11. Sobre a gestão do risco de conformidade, a Companhia:
11.1. Mantém revisada e atualizada a Política de Compliance que estabelece as diretrizes, os papéis e responsabilidades para a gestão deste risco.
12. Sobre a gestão do risco de corrupção, a Companhia:
12.1. Mantém revisada e atualizada a Política Anticorrupção que estabelece as diretrizes, os papéis e responsabilidades para a gestão deste risco.
13. Sobre a gestão de riscos em produtos e serviços, a Companhia:
13.1. Possui processo para identificar e avaliar riscos em produtos e serviços (novos ou em manutenção), bem como a necessidade de implantação de controles mínimos para seu funcionamento adequado.
13.2. Mantém estrutura de governança corporativa de assessoramento à Diretoria- Executiva (“Fórum de Produtos e Serviços”).
14. Sobre a gestão da continuidade do negócio, a Companhia:
14.1. Mantém revisada e atualizada Política Gestão Corporativa de Continuidade de Negócios que estabelece as diretrizes, os papéis e responsabilidades para a gestão deste risco e processo de gestão de continuidade de negócios.
15. Sobre a Gestão de Crises, a Companhia:
15.1. Mantém revisada e atualizada a Norma de Gestão de Crises, documento interno, que estabelece regras para a identificação, avaliação, monitoração e gerenciamento de crises, bem como define procedimentos de comunicação, a fim de que a Companhia esteja capacitada a atuar prontamente, de maneira organizada e eficaz, em qualquer evento que possa prejudicar seus negócios ou impactar a sua reputação frente aos stakeholders.
16. Sobre o processo de gestão de ocorrência de riscos, a Companhia:
16.1. Mantém regras de alçadas para prorrogação do prazo para mitigação e assunção definitiva dos riscos identificados, observando o nível de risco incorrido, bem como assegura à submissão dos referidos aos órgãos de governança competentes para deliberação.
16.2. Avalia a aplicação de penalidades em caso de descumprimento dos prazos acordados e reporta às instâncias de governança de gestão de riscos.
16.3. Possui uma metodologia para reportar aspectos relacionados à evolução da mitigação de riscos de nível alto à Diretoria-Executiva e, por meio do Comitê de Riscos, ao Conselho de Administração, para fins informativos ou deliberativos, conforme o caso.
IV. Gestão de Consequências
Colaboradores, fornecedores ou outros stakeholders (partes interessadas) que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao Canal de Ética nos canais abaixo, podendo ou não se identificar:
- www.canaldeetica.com.br/cielo
- Telefone, ligação gratuita: 0800 775 0808
Internamente, o não cumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem, conforme a respectiva gravidade do descumprimento e de acordo com normativos internos, sendo aplicáveis a todas as pessoas descritas no item “Abrangência” desta Política, incluindo a liderança e membros da Diretoria-Executiva.
V. Responsabilidades
A Companhia adota o conceito de 3 (três) linhas de responsabilidade para operacionalizar sua estrutura de gerenciamento de Riscos Corporativos e Controles Internos, de forma a assegurar o cumprimento das diretrizes definidas.
- 1ª linha de responsabilidade: É representada por todas as pessoas das áreas de negócio e suporte, as quais devem assegurar a efetiva gestão de riscos dentro do escopo das suas responsabilidades organizacionais diretas, incluindo a melhoria ou implementação de novos controles para mitigar riscos identificados e a comunicação tempestiva à governança adequada de: (i) problemas na operação; (ii) situações de não conformidade com os padrões de conduta definidos; e (iii) violações das políticas da instituição ou de disposições legais e regulamentares.
- 2° linha de responsabilidade: É representada pela Vice-Presidência de Riscos, Compliance, Prevenção e Segurança, que atua de forma consultiva e independente junto às áreas de negócio e suporte, com reporte direto ao Diretor-Presidente. A avaliação sobre o gerenciamento dos riscos, compliance, gestão da continuidade de negócios, da gestão de crises, da segurança da informação, da prevenção à lavagem de dinheiro, à fraude e ao financiamento ao terrorismo, bem como a qualidade do ambiente de controles são reportadas ao Diretor-Presidente e ao Comitê de Riscos que, por sua vez, reporta ao Conselho de Administração. A atuação da 2ª linha de responsabilidade é segregada e independente das atividades e da gestão das áreas negócio e suporte e da Auditoria Interna.
- 3° linha de responsabilidade: É representada pela Auditoria Interna e tem como objetivo fornecer opiniões independentes ao Conselho de Administração, por meio do Comitê de Auditoria, sobre o processo de gerenciamento de riscos, a efetividade dos controles internos e a governança corporativa.
- Conselho de Administração:
- Assegurar a segregação e definição de funções, atribuições de responsabilidades e delegação de autoridades que subsidiem a efetiva administração dos riscos;
- Aprovar as diretrizes, estratégias e políticas de gestão de riscos;
- Aprovar os limites e níveis de riscos estabelecidos na Declaração de Apetite a Riscos;
- Autorizar, quando necessário, exceções às estratégias, diretrizes, políticas e níveis de riscos fixados na Declaração de Apetite a Riscos;
- Deliberar sobre riscos com impacto alto nas situações definidas na governança de deliberações de risco;
- Assegurar que a estrutura remuneratória adotada pela Companhia não interfira na independência de atuação das áreas e incentive comportamentos em desacordo com os níveis de apetite a riscos considerados aceitáveis pela Companhia;
- Assegurar que os sistemas de controles internos sejam implementados e mantidos e monitorados de acordo com a Resolução do Banco Central do Brasil (“BCB”) nº 260/2022; e
- Promover a disseminação da cultura de gerenciamento de riscos e o compromisso com a ética e com a integridade na Companhia.
- Diretoria-Executiva:
- Assegurar a aderência da Companhia às estratégias, diretrizes e políticas de gestão de riscos, assim como os limites e níveis de risco estabelecidos na Declaração de Apetite a Riscos, aprovados pelo Conselho de Administração;
- Deliberar sobre riscos com impacto médio e alto nas situações definidas na governança de deliberações de risco;
- Assegurar os recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos;
- Implementar as diretrizes relativas ao sistema de controles internos e monitorar a adequação e eficácia dos controles da Companhia; e
- Disseminar e endossar a cultura de gerenciamento de riscos na Companhia.
- Exclusivamente do Vice-Presidente Executivo de Riscos, Compliance, Prevenção e Segurança:
- Supervisionar o desenvolvimento, a implementação e o desempenho da estrutura de gerenciamento de riscos, incluindo o seu constante aperfeiçoamento;
- Supervisionar e propor adequações de políticas, processos, relatórios, sistemas e modelos utilizados na Companhia, observando a Declaração de Apetite a Riscos e os objetivos estratégicos;
- Supervisionar a adequada capacitação dos Colaboradores da sua Vice-Presidência, acerca das políticas, dos processos, dos relatórios, dos sistemas e dos modelos da estrutura de gerenciamento de riscos, mesmo quando desenvolvidos por terceiros; e
- Subsidiar e participar no processo de tomada de decisão estratégias relacionadas ao gerenciamento de riscos.
- Supervisionar o desenvolvimento, a implementação e o desempenho da estrutura de gerenciamento de riscos, incluindo o seu constante aperfeiçoamento;
- Vice-Presidência Executiva de Riscos, Compliance, Prevenção e Segurança:
- Monitorar e supervisionar o cumprimento das diretrizes estabelecidas nesta política, revisá-la anualmente, mantê-la atualizada para refletir em seu conteúdo quaisquer alterações no direcionamento da Companhia, do apetite a riscos e suportar eventuais dúvidas relativas ao conteúdo e sua aplicação;
- Monitorar o cumprimento, desenvolvimento e a implementação do apetite a riscos, revisá-lo anualmente, mantê-lo atualizado para refletir em seu conteúdo quaisquer alterações no direcionamento da Companhia e suportar eventuais dúvidas relativas ao conteúdo e sua aplicação, bem como reportar os indicadores de apetite e tolerância às instâncias de governança de gestão de riscos;
- Propor metodologias para o gerenciamento de riscos, e participar no processo de tomada de decisão estratégicas relacionadas ao gerenciamento de riscos;
- Identificar, mensurar e avaliar, monitorar, mitigar e reportar de forma integrada e periódica os riscos corporativos, assegurando a governança dos temas da 2ª linha de responsabilidade e subsidiando o processo de tomada de decisões estratégicas;
- Avaliar e certificar a suficiência e eficácia dos controles internos, considerando os objetivos estratégicos e normativos internos e regulatórios, bem como manter a matriz de riscos e controles atualizada;
- Manter atualizada a relação dos principais riscos corporativos, bem como avaliar e monitorar os impactos e probabilidade para subsidiar a priorização e tratamento deles;
- Executar as garantias, em conjunto com a Vice-Presidência Executiva Jurídica e de Relações Governamentais, em caso de descumprimento de obrigação (default) dos Emissores de Cartão, bem como atuar junto ao interventor de Emissores de Cartão, com o intuito de recuperar os valores inadimplidos;
- Executar as garantias, em conjunto com a Vice-Presidência Executiva Jurídica e de Relações Governamentais, dos subcredenciadores em situações de falta de liquidez;
- Elaborar, revisar e solicitar o acionamento do Plano de Contingência de Liquidez;
- Desenvolver e reportar relatório anual sobre o gerenciamento de riscos corporativos;
- Desenvolver e reportar relatório anual de Controles Internos;
- Identificar e avaliar riscos em produtos e serviços (novos ou em alteração), sistemas e processos da Companhia;
- Realizar o processo de avaliação do risco de contágio por sociedades controladas e coligadas; e
- Disseminar a cultura de Gestão de Riscos, Controles Internos, Compliance, Prevenção, Segurança da Informação e Continuidade de Negócios na Companhia, por meio da manutenção de um programa de capacitação dos colaboradores.
- Monitorar e supervisionar o cumprimento das diretrizes estabelecidas nesta política, revisá-la anualmente, mantê-la atualizada para refletir em seu conteúdo quaisquer alterações no direcionamento da Companhia, do apetite a riscos e suportar eventuais dúvidas relativas ao conteúdo e sua aplicação;
- Sociedades controladas e coligadas:
- Prover respostas aos questionários de avaliação de forma tempestiva; e
- Refletir, efetivamente, quais elementos compõem seu ambiente de controles e processos de gerenciamento de riscos, durante o prazo de avaliação.
- Prover respostas aos questionários de avaliação de forma tempestiva; e
- Superintendência Executiva de Tesouraria:
- Realizar e controlar as aplicações financeiras da Companhia em acordo com a Política de Aplicações Financeiras;
- Controlar e monitorar os níveis de liquidez da Companhia, observando os limites definidos na Declaração de Apetite a Riscos da Companhia, assegurando a existência de recursos e linhas de crédito imediatas suficientes para a cobertura de suas obrigações financeiras e mitigando a exposição ao risco de liquidez em diferentes horizontes de tempo;
- Monitorar indexadores atrelados aos instrumentos financeiros detidos pela Companhia para fins de gestão de risco; e
- Acionar o Plano de Contingência de Liquidez.
- Realizar e controlar as aplicações financeiras da Companhia em acordo com a Política de Aplicações Financeiras;
- Gerência de Cobranças e Projetos:
- Realizar procedimentos de cobrança e recuperação de créditos para clientes que possuam débitos em aberto com a Companhia (inadimplentes).
- Gerência Executiva de Sustentabilidade, Diversidade e Impacto:
- Subsidiar análises e participar do processo de identificação dos riscos sociais, ambientais e climáticos incorridos pela Companhia, considerando diretrizes estabelecidas na Política de Sustentabilidade e na Política de Diversidade e Inclusão;
- Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas ao gerenciamento de riscos sociais, ambientais e climáticos; e
- Assegurar a governança da gestão de aspectos sociais, ambientais e climáticos por meio de reporte periódico nas instâncias competentes, conforme estabelecido pela Política de Sustentabilidade e pela Política de Diversidade e Inclusão.
- Subsidiar análises e participar do processo de identificação dos riscos sociais, ambientais e climáticos incorridos pela Companhia, considerando diretrizes estabelecidas na Política de Sustentabilidade e na Política de Diversidade e Inclusão;
- Gerência de Planejamento Estratégico:
- Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas à gestão da estratégia; e
- Assegurar a governança do acompanhamento da estratégia por meio de reporte periódico nas instâncias competentes.
- Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas à gestão da estratégia; e
- Superintendência Executiva de Marketing:
- Monitorar mídias sociais e identificar potenciais detratores da imagem da Companhia e de suas controladas monitoradas;
- Monitorar publicações na imprensa, intermediar contato com jornalistas, influenciadores ou outros formadores de opinião midiáticos em situações de gestão de crise, além de apoiar na construção de posicionamento e monitorar toda a repercussão do tema em tempo real para conter danos à imagem.
- Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas à gestão da imagem e Reputação; e
- Assegurar a governança da gestão da imagem por meio de reporte periódico nas instâncias competentes.
- Monitorar mídias sociais e identificar potenciais detratores da imagem da Companhia e de suas controladas monitoradas;
- Vice-Presidência Executiva Jurídica e de Relações Governamentais:
- Reportar ao BCB, em conjunto com a Vice-Presidência de Riscos, Compliance, Prevenção e Segurança, os casos envolvendo descumprimento de obrigação (default) de emissores de cartão ou outros participantes e estabelecimentos comerciais que representam riscos de crédito e liquidez.
- Executar extra e/ou judicialmente as garantias de emissores de cartão em caso de descumprimento de suas obrigações, após o acionamento da Vice-Presidência de Riscos, Compliance, Prevenção e Segurança.
- Atuar, em conjunto com a Vice-Presidência de Riscos, Compliance, Prevenção e Segurança, junto ao interventor, Fundo Garantidor de Crédito e/ou o liquidante de emissores de cartão sob intervenção, com o intuito de recuperar os valores inadimplidos.
- Executar extra e/ou judicialmente as garantias dos de subcredenciadores e eventuais outros participantes ou estabelecimentos comerciais em caso de descumprimento de suas obrigações, após o acionamento da Vice-Presidência de Riscos, Compliance, Prevenção e Segurança, em situações de falta de liquidez.
VI. Documentação Complementar
- Resolução BCB n° 197/2022.
- Resolução BCB n° 198/2022.
- Resolução BCB n° 260/2022.
- Resolução BCB nº 85/2021.
- Regimento Interno do Comitê de Riscos.
- Regimento Interno do Conselho de Administração.
- Código de Conduta Ética.
- Política de Governança Corporativa.
- Política de Gestão Corporativa de Continuidade de Negócio.
- Política de Sustentabilidade.
- Política de Diversidade e Inclusão.
- Política de Prevenção à Lavagem de Dinheiro e ao Financiamento ao Terrorismo.
- Política de Compliance.
- Política de Compras.
- Política Anticorrupção.
- Política de Aplicações Financeiras.
- Política de Segurança da Informação e Cibernética.
- Política de Relacionamento com Partes Interessadas (Stakeholders).
- Política de Divulgação de Ato ou Fato Relevante e Negociação de Valores Mobiliários.
- Política de Comunicação.
- Política de Transações com Partes Relacionadas e Demais Situações Envolvendo Conflito de Interesses.
- Normas internas aperfeiçoadas constantemente, aprovadas pelas alçadas competentes e disponibilizadas a todos os Colaboradores.
VII. Conceitos e Siglas
- Ambiente de controles: Consiste em um conjunto de controles representativo para um determinado risco.
- Banco Central do Brasil (BCB): Órgão responsável por disciplinar a constituição, o funcionamento e a fiscalização das instituições de pagamento, bem como a descontinuidade na prestação de seus serviços.
- Comitê de Auditoria: Órgão estatutário e com autonomia operacional, vinculado e de assessoramento ao Conselho de Administração da Companhia, atuando com independência em relação à Diretoria Estatutária e que tem como missão assessorar o Conselho de Administração, com foco na qualidade e eficiência das atividades desempenhadas pela Companhia relacionadas às políticas contábeis, emissão de relatórios financeiros, controles internos e de gerenciamento de riscos da Companhia – em sintonia e de forma complementar às funções do Comitê de Risco – os trabalhos desenvolvidos pela Auditoria Interna e Auditoria Independente, bem como eventual recomendação ao Conselho de Administração para que o mesmo possa promover eventual responsabilização da Diretoria, com a finalidade de assegurar que essas atividades sejam conduzidas de forma a proteger e valorizar a Companhia, zelando pelos seus objetivos sociais e valores em coerência com os seguintes princípios básicos de governança corporativa: transparência, equidade, prestação de contas (accountability) e responsabilidade corporativa.
- Comitê de Governança Corporativa: Órgão vinculado e de assessoramento ao Conselho de Administração da Companhia, que tem como missão assessorar o Conselho de Administração, por meio da adoção das melhores práticas de governança corporativa, sempre observadas as características peculiares à Companhia, a fim de assegurar que as atividades da Companhia sejam conduzidas de forma a proteger e valorizar a Companhia, zelando pelos seus objetivos sociais e valores em coerência com os seguintes princípios básicos de governança corporativa: transparência, equidade, prestação de contas (accountability) e responsabilidade corporativa.
- Comitê de Riscos: Órgão vinculado e de assessoramento do Conselho de Administração que tem como missão assessorar o Conselho de Administração, com foco na qualidade e eficiência da gestão do gerenciamento de riscos e dos requerimentos mínimos de patrimônio aplicáveis à Companhia, zelando pelos seus objetivos sociais e valores em coerência com os seguintes princípios básicos de governança corporativa: transparência, equidade, prestação de contas (accountability) e responsabilidade corporativa.
- Comitê de Sustentabilidade: Órgão vinculado e de assessoramento ao Conselho de Administração da Companhia, que tem como missão assessorar o Conselho de Administração no desempenho de suas atribuições relacionadas à sustentabilidade, entre as quais se destaca o estabelecimento de diretrizes e ações corporativas bem como a conciliação das questões de desenvolvimento econômico com as de responsabilidade social, assegurando o sucesso a longo prazo do negócio ao mesmo tempo em que contribui para um meio ambiente saudável, uma sociedade justa e o desenvolvimento econômico e social do Brasil.
- Conselho de Administração: Órgão de deliberação colegiada que visa satisfazer as atribuições de orientar e fiscalizar a gestão da Diretoria-Executiva e decidir sobre as grandes questões do negócio, incluindo-se a tomada das decisões estratégicas, de investimento e de financiamento, entre outras competências previstas no artigo 142 da Lei das Sociedades por Ações e/ou no Estatuto Social da Companhia.
- Contraparte: No contexto deste documento são os emissores de cartão, estabelecimentos comerciais, Subcredenciadores e Instituições Financeiras e Assemelhadas.
- Controles internos: Políticas, normas, procedimentos, métodos e mecanismos criados com o objetivo de proporcionar um grau de confiança razoável na eficácia e eficiência das operações, nos relatórios financeiros e no cumprimento das exigências regulatórias, além do atingimento dos objetivos de negócio, prevenindo ou detectando e corrigindo eventos indesejáveis.
- Default: Situação de descumprimento das obrigações da contraparte, incluindo sua inadimplência total ou parcial.
- Declaração de Apetite ao Risco (RAS): Documento que contempla a formalização dos níveis de riscos que a Companhia suporta para atingir seus objetivos estratégicos e de negócio.
- Governança de Gestão de Riscos: Definição utilizada nesta Política para indicar as instâncias de governança, a saber: (i) Diretoria-Executiva; (ii) Comitê de Riscos; (iii) Conselho de Administração; e outros órgãos da Companhia que podem ser envolvidos tanto para fins informativos, quanto deliberativos com relação à gestão de riscos, como por exemplo o Comitê de Auditoria; o Comitê de Governança Corporativa; o Comitê de Sustentabilidade, etc.
- Influência Significativa: o poder de participar nas decisões financeiras e operacionais de uma entidade, mas que não necessariamente caracterize o controle sobre essas políticas. Influência Significativa pode ser obtida por meio de participação societária, disposições estatuárias ou acordo de acionistas. Quando um investidor mantém, direta ou indiretamente, vinte por cento ou mais do poder de voto de uma investida, presume- se que ele tenha influência significativa, a menos que possa ser claramente demonstrado o contrário. A existência de influência significativa por investidor geralmente é evidenciada por uma ou mais das seguintes formas: (a) representação no conselho de administração ou na diretoria da investida; (b) participação nos processos de elaboração de políticas, inclusive em decisões sobre dividendos e outras distribuições; (c) operações materiais entre o investidor e a investida; (d) intercâmbio de diretores ou gerentes; (e) fornecimento de informação técnica essencial.
- Limite para antecipação: Montante em valor ou em percentual, calculado conforme metodologia específica e cadastrado no sistema de ARV, com o objetivo de impedir a contratação do ARV para além do valor pré-fixado, como forma de proteção contra eventuais chargebacks / cancelamentos de vendas que possam ocorrer sobre as operações realizadas.
- Ocorrência de Riscos: Incidente ou evento relacionado a falhas em processos, sistemas ou pessoas que tenha ocorrido na Companhia, com impactos negativos (diretos ou indiretos) para a operação tais como financeiros, estratégicos, reputacionais, regulatórios, de segurança, ambiental, trabalhista e de continuidade.
- Plano de Contingência de Liquidez: é um documento elaborado conjuntamente entre a Superintendência de Tesouraria e a Vice-Presidência Executiva de Riscos, Compliance, Prevenção e Segurança, aprovado pelo Conselho de Administração, que apresenta um conjunto de procedimentos que tem como principais objetivos: (i) assegurar a não interrupção do fluxo de caixa da Companhia e mitigar perdas decorrentes do risco de liquidez; (ii) definir procedimentos de Contingência de Liquidez, priorizando fontes e usos de recursos que prezem pela eficiência financeira; (iii) restaurar o nível de liquidez desejado pela Companhia; (iv) estabelecer uma clara divisão de papéis e responsabilidades para os objetivos descritos no documento; e (v) definir a composição financeira da Reserva de Liquidez.
- Programa Vendor Performance: Avaliação periódica da performance do fornecedor, realizada pelas áreas gestoras e Superintendência de Eficiência e Compras, utilizado como instrumento de melhoria contínua dos serviços prestados.
- Programa Vendor Risk: Programa de relacionamento com o fornecedor que engloba e mede diversos níveis de interação, tais como Financeiros, Trabalhistas, Performance, Segurança da Informação e Cyber, Continuidade de Negócios, Reputacionais e Socioambientais pelas áreas competentes e com a governança da Superintendência de Eficiência e Compras.
- Risco: Possibilidade de que eventos aconteçam e prejudiquem a realização da estratégia e dos objetivos da Companhia.
- Riscos inerentes: risco ao qual a Companhia está suscetível, independentemente de seu ambiente de controles internos.
- Riscos não financeiros: os riscos não financeiros, no contexto desta Política, são compostos pelos (i) risco operacional; (ii) riscos sociais, ambientais e climáticos; (iii) risco estratégico; (iv) risco emergente; e (v) risco de reputação.
- Risco operacional: Possibilidade de ocorrência de perdas resultantes dos seguintes eventos: (a) falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento; (b) falhas na identificação e autenticação do usuário final; (c) falhas na autorização das transações de pagamento; (d) fraudes internas; (e) fraudes externas; (f) demandas trabalhistas e segurança deficiente do local de trabalho; (g) práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento; (h) danos a ativos físicos próprios ou em uso pela instituição; (i) ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados; (j) falhas em sistemas, processos ou infraestrutura de tecnologia da informação; (k) falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento; e (l) falhas na iniciação de transação de pagamento. O risco operacional inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição de pagamento, a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades envolvidas em arranjo de pagamento.
- Riscos sociais: possibilidade de ocorrência de perdas ocasionadas por eventos associados à violação de direitos humanos, tais como descritos no Código de Conduta Ética: (a) ato de assédio, de discriminação ou de preconceito com base em etnia, raça, cor, nacionalidade, idade, orientação sexual, identidade de gênero, religião, crença, deficiência; (b) práticas relacionadas ao trabalho em condições análogas à escravidão (trabalho forçado ou compulsório); (c) exploração irregular, ilegal ou criminosa do trabalho infantil; (d) exploração sexual de crianças e adolescentes; (e) não observância da legislação previdenciária ou trabalhista; e (f) ato irregular, ilegal ou criminoso que impacte negativamente povos ou comunidades tradicionais. O risco social inclui, ainda, a ocorrência de eventos que possam ferir a legislação vigente no que tange à acessibilidade, bem como ferir os compromissos estabelecidos na Política de Diversidade e Inclusão da Companhia, e que caracterizem atos lesivos ou de exclusão de grupos sociais sub-representados.
- Riscos ambientais: possibilidade de ocorrência de perdas ocasionadas por eventos associados à degradação do meio ambiente ou de degradação ambiental ocasionada pela atividade da companhia, incluindo: (a) o uso excessivo de recursos naturais; (b) desmatamento; (c) provocação de incêndio em mata ou floresta; (d) degradação de biomas ou da biodiversidade; (e) poluição súbita ou gradual do ar, das águas ou do solo; (f) não atendimento à requisitos legais e de adequado gerenciamento de resíduos; e (g) desastre ambiental resultante de intervenção humana.
- Riscos climáticos: define-se o risco climático em duas vertentes: a) risco climático de transição, que são aqueles com a possibilidade de ocorrência de perdas ocasionadas por eventos associados ao processo de transição do ambiente regulatório e tecnológico para um ambiente de impulsionamento da economia de baixo carbono e estão relacionados à regulação sobre emissões de carbono, restrições operacionais e exigências e pressões para mudanças tecnológicas aceleradas; e b) risco climático físico, que são aqueles com possibilidade de ocorrência de perdas para a instituição ocasionadas direta ou indiretamente por eventos associados a intempéries frequentes e severas ou a alterações ambientais de longo prazo, que possam ser relacionadas a mudanças em padrões climáticos.
- Riscos e oportunidades sociais, ambientais e climáticos: São aqueles associados a fatores Ambientais, Sociais e de Governança (ASG ou, em inglês, ESG – Environmental, Social and Governance), além dos fatores associados às mudanças climáticas.
- Oportunidade: situação favorável para a realização de algo podendo estar associado ao ambiente interno ou externo em que a companhia opera, ou que tenha a possibilidade de operar, podendo ser de natureza econômica, tecnológica, operacional, regulatória, social, ambiental ou climática, entre outros aspectos que possam gerar ou proteger valor ao negócio, e de maneira compartilhada, aos demais stakeholders.
- Risco estratégico: Risco decorrente de mudanças adversas no ambiente de negócios ou de utilização de premissas inadequadas na tomada de decisão.
- Riscos e oportunidades emergentes: Decorrem de fenômenos incertos e inesperados que podem expor a organização a um conjunto totalmente novo de circunstâncias, não havendo informações suficientes disponíveis para avaliação e mensuração do impacto delas sobre o futuro do negócio.
- Risco de reputação: Risco decorrente da percepção negativa de imagem a um longo prazo sobre a Companhia por parte de clientes, parceiros, fornecedores, acionistas, controladas, mídia, influenciadores sociais, investidores, reguladores, etc.
- Risco de crédito: Refere-se à possibilidade de ocorrência de perdas associadas ao não cumprimento pela contraparte de suas respectivas obrigações financeiras nos termos pactuados, à redução de ganhos ou remunerações, às vantagens concedidas na negociação e aos custos de recuperação, incluindo:
- Inadimplemento do portador perante o emissor de instrumento de pagamento pós- pago;
- Inadimplemento do emissor perante o credenciador; e
- Inadimplemento de instituição de pagamento devedora de outra instituição de pagamento em função de acordo de interoperabilidade entre diferentes arranjos.
- Risco de liquidez: Refere-se à possibilidade de a Companhia não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em perdas significativas, bem como não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.
- Risco de mercado: Refere-se à possibilidade de ocorrência de perdas resultantes da flutuação nos valores de mercado de instrumentos detidos pela Companhia, assim como receitas e despesas que possam ser impactadas em decorrência de variação das taxas de juros, dos preços de ações e da variação cambial.
- Sistema de controles: Consiste em um conjunto de controles representativo para um determinado risco.
- Sociedades coligadas: São as sociedades nas quais a Companhia tenha influência significativa, nos termos da legislação vigente.
- Sociedades controladas: São as sociedades nas quais a Companhia, direta ou indiretamente, é titular de direitos de sócia ou acionista que lhe assegurem, de modo permanente, preponderância nas deliberações sociais e o poder de eleger a maioria dos administradores, nos termos da legislação vigente.
- Stakeholders (partes interessadas): São todos os públicos relevantes, sejam internos ou externos, que consistem em pessoas, grupos, organizações, associações e outros atores que influenciam ou são influenciados pelas atividades, produtos e serviços da Companhia, e que podem ser impactados por suas decisões, ações e desempenho. São exemplos de Partes Interessadas (Stakeholders), mas não se limitam a: fornecedores, investidores, Colaboradores, comunidades locais, imprensa, organizações da sociedade civil.
- Subcredenciador: Participantes de arranjo de pagamento que habilitam estabelecimentos não filiados diretamente à Companhia para a aceitação de instrumento de pagamento, sendo responsáveis pela liquidação das transações de pagamento a tais estabelecimentos, mediante repasse dos recursos financeiros recebidos pela Companhia.
- Vendas diferidas: Vendas com cartão de crédito efetuadas pelos clientes com entrega dos bens/serviços em data futura.
VIII. Disposições Gerais
É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.
Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer documentos em contrário.