Política de Gerenciamento Integrado de Riscos Corporativos, Controles Internos e Compliance

Histórico de Revisões

Versão: Data de Revisão: Histórico:
1 20/04/2017 Elaboração do Documento.
Esta política substitui a antiga PLT_007 Gestão de Riscos Corporativos

 

I Objetivo

Este documento tem por objetivo estabelecer as diretrizes básicas e responsabilidades associadas ao gerenciamento dos Riscos Corporativos, Controles Internos e Compliance da Cielo, observando as regulamentações aplicáveis e as melhores práticas de mercado.

II Abrangência

  • Todos os administradores (diretores, membros do Conselho de Administração e Comitês) e colaboradores da Cielo S.A.
  • III Documentação Complementar
  • Circular BACEN n° 3681/13.
  • Circular BACEN nº 3.547/11.
  • Resolução BACEN nº 4.327/14.
  • COSO ERM – Integrated Framework
  • COBIT – ITGI – Control Objectives for Information and Related Technology

IV Conceitos e Siglas

  • Apetite ao risco: Nível de risco que a Companhia se propõe a assumir na busca e realização da sua estratégia.
  • Risco: A possibilidade de que um evento ocorra e afete desfavoravelmente a realização dos objetivos da Companhia.
  • Risco de Crédito: Risco da contraparte não honrar com as suas obrigações relativas a um instrumento financeiro ou contrato, podendo gerar perdas financeiras para a Companhia.
  • Risco de Liquidez: É a possibilidade da Companhia não saldar as obrigações associadas aos seus passivos financeiros nos prazos acordados, em razão de descasamentos do seu fluxo de caixa, podendo gerar perdas financeiras para a Companhia.
  • Risco de Mercado: Possibilidade de perdas resultantes da flutuação nos valores de mercado de posições detidas pela Companhia, incluindo os riscos das operações sujeitas à variação cambial, das taxas de juros e outros indicadores.
  • Risco de Reputação: Risco decorrente de percepção negativa sobre a Companhia por parte de clientes, contrapartes, acionistas, investidores ou supervisores.
  • Risco Estratégico: Risco decorrente de mudanças adversas no ambiente de negócios ou de utilização de premissas inadequadas na tomada de decisão.
  • Risco Inerente: Risco ao qual a Companhia está suscetível, independentemente de seu ambiente de controles internos.
  • Risco Operacional: Consiste na possibilidade de ocorrência de perdas resultantes dos seguintes eventos:
  • Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
  • Falhas na identificação e autenticação do usuário final;
  • Falhas na autorização das transações de pagamento;
  • Fraudes internas;
  • Fraudes externas;
  • Demandas trabalhistas e segurança deficiente do local de trabalho;
  • Práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;
  • Danos a ativos físicos próprios ou em uso pela Companhia;
  • Ocorrências que acarretem a interrupção das atividades da Companhia ou a descontinuidade dos serviços de pagamento prestados;
  • Falhas em sistemas de tecnologia da informação; e
  • Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento.
  • Risco Residual: Risco ao qual a Companhia está suscetível, considerando a avaliação de seu ambiente de controles internos.
  • Risco Socioambiental: Possibilidade de perdas pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil decorrente de danos socioambientais.

V Responsabilidades

A Cielo adota o conceito das 3 (três) linhas de defesa para operacionalizar sua estrutura de gerenciamento de Riscos Corporativos, Controles Internos e Compliance, de forma a assegurar o cumprimento das diretrizes definidas.

1ª linha de defesa: É representada por todos os gestores das áreas de negócio e suporte, os quais devem assegurar a efetiva gestão de riscos dentro do escopo das suas responsabilidades organizacionais diretas.

Gerir os riscos e controles dos processos de sua atribuição e das atividades terceirizadas relevantes sob sua coordenação, por meio de abordagens preventivas e detectivas;

Implementar ações para mitigação e/ou monitoramento dos riscos;

Comunicar prontamente à Diretoria de Gestão de Riscos e Compliance sempre que identificar riscos potenciais não previstos no desenvolvimento das atividades de controle ou alterações em relação às normas e regulamentações vigentes;

Avaliar as normas externas e internas e verificar o impacto que estas podem ter nos seus processos e procedimentos e a necessidade de planos de ação para garantir sua aderência;

Definir e implantar os planos de ação para endereçamento dos apontamentos efetuados pelas Auditorias, Reguladores e Riscos e Compliance;

2° linha de defesa: É responsável pelo apoio à 1° linha de defesa no gerenciamento dos riscos corporativos e é representada pela Diretoria de Gestão de Riscos e Compliance – estrutura com atuação consultiva junto às áreas executivas, porém com avaliação e reporte independentes sobre o gerenciamento dos riscos e ambiente de controle da Cielo.

Coordenar as atividades de Gestão de Riscos, Controles Internos e Compliance junto às áreas de negócio e suporte, sendo independente no exercício de suas funções;

Desenvolver e disponibilizar as metodologias, ferramentas, sistemas, infraestrutura e governança necessários para suportar o gerenciamento de Riscos Corporativos, Controles Internos e Compliance nas atividades da Cielo;

Apoiar a primeira linha de defesa na implementação de práticas eficazes de gestão dos riscos corporativos;

Certificar a eficiência e a eficácia do ambiente de controle da primeira linha de defesa, através de monitoramento e testes de controles;

Assegurar a governança dos temas de Gestão de Riscos, Controles Internos e Compliance, por meio de reporte periódico nos fóruns competentes;

Acompanhar o endereçamento dos apontamentos efetuados pelas Auditorias e Reguladores;

Coordenar as atividades de gestão de crises e de elaboração e aplicação dos planos de continuidade de negócios;

Atuar em conjunto com outras áreas de suporte da organização que, dentre suas atribuições, também possuem atividades de segunda linha de defesa, como: prevenção a fraudes, segurança da informação, sustentabilidade e jurídico, dentre outras.

3° linha de defesa: É representada pela Auditoria Interna, e tem como objetivo fornecer opiniões independentes a Alta Administração, por meio do Comitê de Auditoria, sobre o processo de gerenciamento de riscos, a efetividade dos controles internos e a governança corporativa.

Auditoria Externa:

Avaliar a qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos;

Reportar o descumprimento de dispositivos legais e regulamentares que tenham ou possam vir a ter reflexos relevantes nas demonstrações contábeis ou nas operações da Companhia.

Diretoria Executiva:

Revisar a política de gerenciamento de riscos e submeter à aprovação do Conselho de Administração;

Propor ao Conselho de Administração o nível de apetite ao risco da Companhia;

Aprovar a metodologia a ser utilizada para condução do processo de gerenciamento dos riscos corporativos;

Acompanhar de forma periódica a gestão de riscos com o objetivo de garantir sua eficácia e o cumprimento de seus objetivos.

Conselho de Administração:

Aprovar e revisar periodicamente as diretrizes, estratégias e políticas referentes ao gerenciamento de riscos da Companhia;

Definir o nível de apetite ao risco na condução dos negócios;

Assegurar a aderência da Companhia às políticas e às estratégias de gerenciamento de riscos;

Autorizar, quando necessário, exceções às políticas e aos procedimentos;

Promover a disseminação da cultura de gerenciamento de riscos na Companhia;

Assegurar recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos de forma independente, objetiva e efetiva.

VI Diretrizes

Adotar estrutura e processo estruturado de gerenciamento de riscos compatíveis com a natureza das atividades da Companhia e a complexidade dos produtos e serviços oferecidos, tendo por objetivo identificar, avaliar, responder, monitorar e reportar os principais riscos incorridos.

Contar com uma metodologia reconhecida pela empresa e pelo mercado, para atender também as exigências de agentes externos e órgãos reguladores e fiscalizadores.

Identificar e manter atualizada a relação dos principais riscos corporativos aos quais a Companhia está exposta.

Avaliar continuamente cada risco quanto aos aspectos de impacto e vulnerabilidade do ambiente de controle, de forma a permitir sua priorização para fins de tratamento.

Definir o tipo de tratamento a ser adotado para cada risco (exemplos: evitar, mitigar, compartilhar ou aceitar) a partir do grau de apetite ao risco da empresa.

Disseminar a cultura de Gestão de Riscos, Controles Internos e Compliance na Cielo, através da manutenção de um programa de capacitação dos colaboradores.

Acompanhar as modificações no ambiente regulatório, incluindo as regras estabelecidas pelas Bandeiras, garantindo a conformidade dos produtos e processos às normas internas e externas vigentes.

VII Disposições Gerais

É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.

Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer normas e procedimentos em contrário.