Política de Gestão de Riscos Corporativos e Controles Internos

Histórico de Revisões

Versão: Data de Revisão: Histórico:
1 20/04/2017 Elaboração do Documento.
Esta política substitui a antiga PLT_007 Gestão de Riscos Corporativos
2 20/02/2018 Alteração do título de “Gerenciamento integrado de riscos corporativos, controles internos e compliance” para “Gestão de Riscos Corporativos e Controles Internos”;
Atualização de todo conteúdo da política em consonância com as atuais práticas da Companhia.

 

I Objetivo

Estabelecer as principais diretrizes relacionadas ao gerenciamento dos riscos corporativos e controles internos, em atendimento às regulamentações, normativos aplicáveis e boas práticas de mercado.

II Abrangência

Estabelecer as principais diretrizes relacionadas ao gerenciamento dos riscos corporativos e controles internos, em atendimento às regulamentações, normativos aplicáveis e boas práticas de mercado.

III Diretrizes

1. Sobre a gestão dos controles internos, a Cielo:
1.1. Possui uma metodologia que fornece subsídios para identificar, avaliar, responder, monitorar e reportar o estado do ambiente de controles da Companhia.
1.2. Alinha a estrutura de controles internos aos objetivos estabelecidos pela Companhia, às estratégias do negócio e aos normativos internos instituídos.
1.3. Prioriza a identificação, avaliação e mitigação do risco operacional nos processos que apresentam maior potencial de consequências financeiras (perdas) para a Companhia, a partir de critérios qualitativos e/ou quantitativos.
1.4. Avalia continuamente os riscos operacionais quanto aos aspectos de impacto e vulnerabilidade do ambiente de controle, de forma a permitir sua priorização para fins de tratamento, promovendo a efetividade do sistema de controles internos.
1.5. Realiza a gestão de ocorrências de risco e endereça planos de ação mitigatórios e/ou corretivos para os riscos identificados.
1.6. Garante a elaboração de relatórios sobre o ambiente dos controles internos, a serem apreciados e aprovados, no mínimo semestralmente, pelo Conselho de Administração.

2. Sobre a gestão da continuidade do negócio e gerenciamento de crises, a Cielo:
2.1. Possui uma metodologia que fornece subsídios para identificar, avaliar, responder, monitorar, reportar e gerenciar eventos de descontinuidade de negócio e crises.
2.2. Identifica as ameaças internas e externas que possam comprometer a continuidade das operações da Companhia, bem como os possíveis impactos à operação decorrentes da concretização de tais ameaças.
2.3. Mantém planos de contingência e mecanismos que garantam a continuidade dos serviços de pagamento prestados.
2.4. Mantém uma estrutura de gerenciamento e resposta a crises, suportada por níveis adequados de autoridade e competência, que assegurem a comunicação efetiva às partes interessadas.
2.5. Implementa e mantém um processo evolutivo da Gestão de Continuidade de Negócios, visando garantir que a Companhia mantenha suas atividades críticas em um nível aceitável de funcionamento, durante a recuperação após indisponibilidade, protegendo sua imagem.
2.6. Realiza treinamentos, testes e análises que garantam a manutenção e o bom funcionamento dos planos de continuidade de negócio.

3. Sobre a gestão dos riscos operacionais, a Cielo:
3.1. Possui uma metodologia que fornece subsídios para identificar, mensurar, monitorar, controlar, mitigar e gerenciar o risco operacional.
3.2. Identifica e avalia os riscos operacionais em produtos, serviços, sistemas e processos, bem como mantém atualizada a relação dos principais riscos operacionais aos quais a Companhia está exposta.
3.3. Mantém registro de dados de perdas operacionais que incorporam os principais atributos dos eventos de perda, de acordo com critérios objetivos e transparentes.
3.4. Realiza a gestão do risco operacional por meio do monitoramento dos limites estabelecidos e da evolução das perdas operacionais com o objetivo de endereçar planos de ação para adequação do ambiente de controles e reduzir a exposição da companhia a este risco.

4. Sobre a gestão do risco socioambiental, a Cielo:
4.1. Identifica, classifica, avalia, monitora, mitiga e controla os principais riscos socioambientais de seus produtos, processos e operações.
4.2. Avalia e gerencia os potenciais impactos socioambientais, por meio do uso de critérios econômicos, sociais e ambientais, ao criar novos produtos ou revisar os já existentes.
4.3. Gerencia os aspectos e impactos socioambientais de seus processos e operações, buscando:
4.3.1. Reduzir o consumo de água e de energia elétrica;
4.3.2. Gerenciar adequadamente os resíduos;
4.3.3. Colaborar para a construção de uma economia de baixo carbono a partir de uma estratégia de governança climática baseada em quatro eixos de atuação: Avaliação dos impactos, que incluem a elaboração de inventário de gases de efeito estufa (GEE) e riscos e oportunidades decorrentes das mudanças climáticas;
Redução das emissões;
Compensação das emissões; e
Articulação e compromisso com a transparência.
4.3.4. Contribuir para o desenvolvimento da sociedade por meio do investimento em projetos sociais.
4.3.5. Promover relações baseadas na ética e respeito aos direitos humanos, valorizando a diversidade e repudiando qualquer tipo de discriminação.
4.3.6. Homologar, contratar e avaliar fornecedores críticos, considerando aspectos socioambientais que possam representar potenciais riscos para a Cielo e seus clientes.

5. Sobre a gestão do risco estratégico, a Cielo:
5.1. Realiza ciclos de planejamento estratégico a cada 3 (três) anos e, anualmente, revisa o ciclo planejado anteriormente.
5.2. Realiza pesquisas de mercado com objetivo de identificar mudanças e movimentações no mercado, assim como possíveis inadequações de proposta de valor da Cielo.
5.3. Avalia as tendências de mercado para os segmentos de atuação, competências necessárias para a execução da estratégia e as iniciativas que precisam ser desenvolvidas para cumprir o planejamento.
5.4. Identifica, mensura, monitora, reporta, controla e mitiga os riscos emergentes de negócio que podem afetar o cumprimento da estratégia da companhia, bem como acompanha semanalmente o progresso das iniciativas estratégicas junto aos principais stakeholders.

6. Sobre a gestão do risco de imagem, a Cielo:
6.1. Identifica, avalia, mensura, monitora, reporta, controla e mitiga os fatores internos que oferecem risco à imagem da Companhia, identificando os principais promotores e detratores de imagem;
6.2. Possui uma estratégia de disseminação das informações, contemplando o fluxo de comunicação aos públicos de interesse com a descrição das ações necessárias conforme o impacto institucional identificado.
6.3. Monitora continuamente o risco de reputação por meio de uma pesquisa de tracking de marca e por meio de menções e publicações sobre a Companhia em redes sociais e na imprensa.
6.4. Realiza pesquisa de reputação junto aos stakeholders da Companhia.

7. Sobre a gestão dos riscos financeiros, a Cielo:
7.1. Mantém revisada e atualizada a Política de Gerenciamento de Riscos de Crédito, Liquidez e Mercado que estabelece as diretrizes e os papéis e responsabilidades para a gestão destes riscos.

IV Exceções

As exceções, quando aplicáveis, serão tratadas pela Diretoria-Executiva e/ou pelo Conselho de Administração, respeitadas suas competências definidas na Política de Governança de Gestão de Riscos.

V Gestão de Consequências

Colaboradores, fornecedores ou outros stakeholders que observarem quaisquer desvios às diretrizes desta Política poderão relatar o fato ao Canal de Ética (www.canaldeetica.com.br/cielo ou 0800 775 0808), podendo ou não se identificar. Internamente, a não observância das determinações desta Política acarretará em ações de gestão de consequência que poderão variar desde uma orientação sobre como proceder para anular ou ao menos minimizar os eventuais problemas criados, até a demissão por justa causa dos responsáveis.

VI Responsabilidades

A Cielo adota o conceito de 3 (três) linhas de defesa para operacionalizar sua estrutura de gerenciamento de Riscos Corporativos e Controles Internos, de forma a assegurar o cumprimento das diretrizes definidas.

1ª linha de defesa: É representada por todos os gestores das áreas de negócio e suporte, os quais devem assegurar a efetiva gestão de riscos dentro do escopo das suas responsabilidades organizacionais diretas.

2° linha de defesa: É representada pela Diretoria de Gestão de Riscos e Compliance, que atua de forma consultiva e independente junto às áreas negócio e suporte, com avaliação e reporte sobre o gerenciamento dos riscos, compliance, gestão da continuidade de negócios, gestão de crises e ambiente de controle à Presidência e ao Comitê de Riscos da Cielo. A atuação da 2ª linha de defesa é segregada e independente das atividades e da gestão das áreas negócio e suporte e da Auditoria Interna.

3° linha de defesa: É representada pela Auditoria Interna, e tem como objetivo fornecer opiniões independentes à Alta Administração, por meio do Comitê de Auditoria, sobre o processo de gerenciamento de riscos, a efetividade dos controles internos e a governança corporativa.

Conselho de Administração:

  • Aprovar as diretrizes, estratégias e políticas de gestão de riscos.
  • Aprovar os limites e níveis de riscos estabelecidos na Declaração de Apetite ao Risco.
  • Assegurar os recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos.
  • Autorizar, quando necessário, exceções às estratégias, diretrizes, políticas e níveis de riscos fixados na Declaração de Apetite ao Risco.
  • Garantir que a estrutura remuneratória adotada pela Companhia não interfira na independência de atuação das áreas e incentive comportamentos compatíveis com os níveis de apetite aos riscos considerados aceitáveis pela Cielo.
  • Promover a disseminação da cultura de gerenciamento de riscos na Companhia.

Diretoria Executiva:

  • Assegurar a aderência da Companhia às estratégias, diretrizes e políticas de gestão de riscos, assim como os limites e níveis de risco estabelecidos na Declaração de Apetite ao Risco.
  • Deliberar sobre planos de ação para resposta aos riscos altos e exceções.
  • Assegurar recursos adequados e suficientes para o exercício das atividades de gestão de riscos.
  • Promover a disseminação da Cultura de Gestão de Riscos.

Diretoria de Gestão de Riscos e Compliance

  • Promover o desenvolvimento, a implementação e o desempenho da estrutura de gerenciamento de riscos, incluindo seu aperfeiçoamento.
  • Identificar e avaliar os riscos operacionais em produtos, serviços, sistemas e processos da Companhia, bem como manter atualizada a relação dos principais riscos operacionais aos quais a Companhia está exposta.
  • Avaliar continuamente os riscos operacionais quanto aos aspectos de impacto e vulnerabilidade do ambiente de controle, de forma a permitir sua priorização para fins de tratamento, promovendo a efetividade do sistema de controles internos.
  • Monitorar a exposição ao risco operacional e as perdas operacionais incorridas, bem como certificar a suficiência e eficácia dos controles internos, considerando os objetivos estratégicos e normativos internos e regulatórios.
  • Apoiar às Áreas de Negócio e Suporte no desenvolvimento de planos de ação mitigatórios e/ou corretivos para responder aos riscos identificados.
  • Monitorar os planos de ação mitigatórios e/ou corretivos, incluindo os originados pela Auditoria e Reguladores.
  • Realizar a Gestão da Continuidade de Negócios e Gestão de Crises.
  • Assegurar a governança dos temas de gestão de riscos operacionais, controles internos e gestão da continuidade de negócios, por meio de reporte periódico nas instâncias competentes.
  • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas ao gerenciamento de riscos.
  • Realizar o processo de avaliação de riscos em empresas controladas e coligadas.
  • Disseminar a cultura de Gestão de Riscos, Controles Internos e Compliance na Companhia, por meio da manutenção de um programa de capacitação dos colaboradores.

Gerência de Sustentabilidade

  • Identificar, avaliar e monitorar continuamente o risco socioambiental incorrido pela Companhia.
  • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas ao gerenciamento de riscos socioambientais.
  • Assegurar a governança da gestão de risco socioambiental por meio de reporte periódico nas instâncias competentes.

Diretoria de Planejamento Estratégico

  • Identificar, avaliar e monitorar continuamente os riscos emergentes e estratégicos da Companhia.
  • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas ao gerenciamento de riscos estratégicos e emergentes.
  • Assegurar a governança da gestão de risco estratégico por meio de reporte periódico nas instâncias competentes.

Diretoria de Marketing

  • Identificar, avaliar e monitorar continuamente o risco de imagem incorrido pela Companhia.
  • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas ao gerenciamento do risco de imagem.
  • Assegurar a governança da gestão de risco de imagem por meio de reporte periódico nas instâncias competentes.

VII Documentação Complementar

  • Circular BACEN n° 3.681/13
  • Resolução CMN nº 2554/98
  • COSO ERM – Integrated Framework
  • COBIT – ITGI – Control Objectives for Information and Related Technology
  • Política de Governança de Gestão de Riscos
  • Política de Sustentabilidade
  • Política de Gerenciamento de Riscos De Crédito, Liquidez e Mercado
  • Política de Compliance
  • Normas internas aperfeiçoadas constantemente, aprovadas pelas alçadas competentes e disponibilizadas a todos os colaboradores.

VIII Conceitos e Siglas

  • Ambiente de controles: Consiste em um conjunto de controles representativo para um determinado risco.
  • Banco Central do Brasil (BACEN): Órgão responsável por disciplinar a constituição, o funcionamento e a fiscalização das instituições de pagamento, bem como a descontinuidade na prestação de seus serviços.
  • Controles Internos: Políticas, normas, procedimentos, métodos e mecanismos criados com o objetivo de proporcionar um grau de confiança razoável na eficácia e eficiência das operações, nos relatórios financeiros e no cumprimento das exigências regulatórias, além do atingimento dos objetivos de negócio, prevenindo ou detectando e corrigindo eventos indesejáveis.
  • Continuidade de Negócios: Atividade integrada ao gerenciamento de riscos, que utiliza a ferramenta de análise de impacto nos negócios (BIA) como direcionador para mitigar riscos de descontinuidade. Fornece uma estrutura para que se desenvolva uma resiliência organizacional, capaz de identificar antecipadamente e responder aos impactos causados pela interrupção dos principais processos da Cielo.
  • Declaração de Apetite ao Risco (RAS): Documento que contempla a formalização dos níveis e a capacidade da Companhia em suportar riscos, com o intuito de atingir seus objetivos estratégicos e de negócio.
  • Risco: Possibilidade de que eventos aconteçam e prejudiquem a realização da estratégia e dos objetivos da Companhia.
  • Risco Operacional: Possibilidade de ocorrência de perdas resultantes dos seguintes eventos: a) falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento; b) falhas na identificação e autenticação do usuário final; c) falhas na autorização das transações de pagamento; d) fraudes internas; e) fraudes externas; f) demandas trabalhistas e segurança deficiente do local de trabalho; g) práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento; h) danos a ativos físicos próprios ou em uso pela instituição; i) ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados; j) falhas em sistemas, processos ou infraestrutura de tecnologia da informação; e k) falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento. O risco operacional inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição de pagamento, a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades envolvidas em arranjo de pagamento.
  • Risco Socioambiental: Possibilidade de perdas financeiras, operacionais e de imagem decorrentes de danos socioambientais, tais como poluição, prejuízos à saúde humana, segurança, transparência, impactos em comunidades, ameaças à biodiversidade, entre outros.
  • Risco Estratégico: Risco decorrente de mudanças adversas no ambiente de negócios ou de utilização de premissas inadequadas na tomada de decisão.
  • Risco de Imagem: Risco decorrente da percepção negativa sobre a Companhia por parte de clientes, contrapartes, acionistas, investidores ou reguladores.
  • Riscos Financeiros: Categoria de risco que engloba os riscos de Crédito, Liquidez e Mercado, estes definidos na Política de Gerenciamento de Riscos De Crédito, Liquidez e Mercado.
  • Stakeholders: Representam as partes interessadas da companhia, sendo elas: colaboradores, a Diretoria Executiva, os investidores, os membros do Conselho de Administração, clientes, órgãos reguladores, fornecedores e a sociedade. Os stakeholders envolvidos podem variar conforme o nível de confidencialidade das informações compartilhadas.
  • Ocorrência de Risco: Incidente ou evento relacionado a falhas em processos, sistemas ou pessoas que tenha ocorrido na Companhia, com impactos negativos (diretos ou indiretos) para a operação tais como financeiros, reputacionais, regulatórios, de segurança, ambiental, trabalhista e de continuidade.

IX Disposições Gerais

É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.
Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer normas e procedimentos em contrário.