Política de Gestão de Riscos Corporativos e Controles Internos

Histórico de Revisões

 

Versão: Data de Revisão: Histórico:
1 20/04/2017 Elaboração do Documento.
Esta política substitui a antiga PLT_007 Gestão de Riscos Corporativos.
2 20/02/2018 Alteração do título de “Gerenciamento integrado de riscos corporativos, controles internos e compliance” para “Gestão de Riscos Corporativos e Controles Internos”;
Atualização de todo conteúdo da política em consonância com as atuais práticas da Cielo.
3 23/01/2020 Inclusão da Servinet Serviços Ltda, Aliança Pagamentos e Participações Ltda e Stelo S.A na abrangência desta Política. Inclusão das diretrizes 1.4 de controles internos, 3.5 e 3.6 de risco operacional, 5.1 e 5.2 de risco estratégico, 6.1 e 6.2 de risco de reputação. Inclusão do item 8 sobre risco de lavagem de dinheiro e financiamento ao terrorismo e do item 9 sobre o risco de conformidade. Revisão textual das diretrizes 1.1, 1.3, 1.5, 2.1, 2.3, 2.4, 2.5, 3.1, 3.5, 3.6, 4.1, 4.2, 5.6 e 6.4. Revisão do item responsabilidades.

 

I. Objetivo

Estabelecer as principais diretrizes relacionadas ao gerenciamento dos riscos corporativos e controles internos, em atendimento às regulamentações aplicáveis e boas práticas de mercado.

II. Abrangência

Todos os administradores (diretores, membros do Conselho de Administração e membros dos Comitês de Assessoramento), membros do Conselho Fiscal e colaboradores das empresas Cielo S.A., Servinet Serviços Ltda., Aliança Pagamentos e Participações Ltda. e Stelo S.A., doravante denominadas (“Cielo” ou “Companhia”).
Todas as Sociedades Controladas da Companhia devem definir seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.
Em relação às Sociedades Coligadas, os representantes da Companhia que atuem na administração das Sociedades Coligadas devem envidar esforços para que elas definam seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.

III. Diretrizes

1. Sobre a gestão dos controles internos, a Cielo:

1.1. Possui um método interno baseado em modelos e guias de boas práticas de mercado (“método”) que fornece subsídios para identificar, avaliar, responder, monitorar e reportar à Diretoria Executiva, ao Conselho de Administração por meio do Comitê de Riscos e aos órgãos reguladores, conforme o caso, o estado de seu ambiente de controles.

1.2. Alinha a estrutura de controles internos aos seus objetivos, aos normativos internos, às estratégias do negócio, à complexidade e aos riscos das operações realizadas.

1.3. Prioriza a identificação, avaliação e mitigação do risco operacional nos processos a partir de critérios qualitativos e/ou quantitativos, os quais consideram aspectos relacionados à imagem, aos requisitos regulatórios, ao impacto financeiro, ao impacto em clientes e aos impactos operacionais.

1.4. Visa organizar sua estrutura de forma compatível com suas atividades, garantindo as segregações necessárias para mitigar eventuais conflitos na condução dos negócios.

1.5. Avalia continuamente os riscos no ambiente de controles quanto aos aspectos de impacto e vulnerabilidade, de forma a permitir sua priorização para fins de tratamento, promovendo a efetividade do sistema de controles internos.

1.6. Realiza a gestão de ocorrências de risco e endereça planos de ação mitigatórios e/ou corretivos para os riscos identificados.

2. Sobre a gestão da continuidade do negócio e gerenciamento de crises, a Cielo:

2.1. Possui um método que fornece subsídios para identificar, avaliar, responder, monitorar e reportar eventos de descontinuidade de negócio e crises à Diretoria Executiva, ao Conselho de Administração por meio do Comitê de Riscos e aos órgãos reguladores, conforme o caso.

2.2. Identifica as ameaças internas e externas que possam comprometer a continuidade de suas operações, bem como os possíveis impactos à operação decorrentes da concretização de tais ameaças.

2.3. Mantém planos de contingência e mecanismos que garantam a continuidade dos serviços prestados.

2.4. Mantém uma estrutura de gerenciamento e resposta a crises, suportada por níveis adequados de autoridade e competência, que assegurem a comunicação efetiva e tempestiva às partes interessadas, inclusive ao Banco Central do Brasil (BACEN), quando houver a indicação de relevância para tal, aderente à regulamentação vigente e conforme norma interna (NRM_105 Gestão de Crises).

2.5. Implementa e mantém um processo evolutivo da Gestão de Continuidade de Negócios, visando garantir a manutenção de suas atividades críticas em um nível aceitável de funcionamento, durante a recuperação após indisponibilidade, monitorando e protegendo sua imagem e o consequente risco reputacional, conforme norma interna (NRM_034 Gestão de Continuidade de Negócios).

2.6. Realiza treinamentos, testes e análises que garantam a manutenção e o bom funcionamento dos planos de continuidade de negócio.

3. Sobre a gestão dos riscos operacionais, a Cielo:

3.1. Possui um método que fornece subsídios para identificar, avaliar, responder, monitorar e reportar o risco operacional à Diretoria Executiva, ao Conselho de Administração por meio do Comitê de Riscos e aos órgãos reguladores, conforme o caso.

3.2. Identifica e avalia os riscos operacionais em produtos, serviços, sistemas e processos, bem como mantém atualizada a relação dos principais riscos operacionais aos quais está exposta.

3.3. Mantém registro de dados de perdas operacionais que incorporam os principais atributos dos eventos de perda, de acordo com critérios objetivos e transparentes.

3.4. Realiza a gestão do risco operacional por meio do monitoramento dos limites estabelecidos e da evolução das perdas operacionais com o objetivo de endereçar planos de ação para adequação do ambiente de controles e reduzir a exposição a este risco.

3.5. Realiza o acompanhamento de riscos relacionados à Tecnologia da Informação e, dentre outros monitoramentos, aplica questionários de avaliação, que têm como base os critérios de decisão quanto à terceirização de serviços de processamento e armazenamento de dados e de computação em nuvem, para seleção de seus fornecedores, conforme as diretrizes estabelecidas na Política de Compras e em consonância com a regulação em vigor.

3.6. Avalia, gerencia e monitora o risco operacional decorrente de serviços terceirizados de processamento e armazenamento de dados e de computação em nuvem relevantes, para seu funcionamento regular.

4. Sobre a gestão do risco socioambiental, a Cielo:

4.1. Possui um método que fornece subsídios para identificar, avaliar, responder, monitorar e reportar o risco socioambiental à Diretoria Executiva, ao Conselho de Administração por meio do Comitê de Riscos e aos órgãos reguladores, conforme o caso.

4.2. Identifica e avalia os riscos socioambientais em produtos, serviços, sistemas e processos.

4.3. Gerencia os aspectos e impactos socioambientais de seus processos e operações, buscando:

4.3.1. Reduzir o consumo de água e de energia elétrica;

4.3.2. Gerenciar adequadamente os resíduos;

4.3.3. Colaborar para a construção de uma economia de baixo carbono a partir de uma estratégia de governança climática baseada em quatro eixos de atuação;

  • Avaliação dos impactos, que incluem a elaboração de inventário de gases de efeito estufa (GEE) e riscos e oportunidades decorrentes das mudanças climáticas;
  • Redução das emissões;
  • Compensação das emissões; e
  • Articulação e compromisso com a transparência.

4.3.4. Contribuir para o desenvolvimento da sociedade por meio do investimento em projetos sociais.

4.3.5. Promover relações baseadas na ética e respeito aos direitos humanos, valorizando a diversidade e repudiando qualquer tipo de discriminação.

4.3.6. Homologar, contratar e avaliar fornecedores críticos, considerando aspectos socioambientais que possam representar potenciais riscos para a Cielo e seus clientes.

5. Sobre a gestão do risco estratégico, a Cielo:

5.1. Possui um método que fornece subsídios para identificar, avaliar, responder, monitorar e reportar o risco estratégico à Diretoria Executiva, ao Conselho de Administração, ao Comitê de Riscos e aos órgãos reguladores, conforme o caso.

5.2. Identifica e avalia os riscos estratégicos em produtos, serviços, sistemas e processos.

5.3. Realiza ciclos de planejamento estratégico a cada 3 (três) anos e, anualmente, revisa o ciclo planejado anteriormente.

5.4. Realiza pesquisas de mercado com objetivo de identificar mudanças e movimentações no mercado, assim como possíveis inadequações de proposta de valor da Cielo.

5.5. Avalia as tendências de mercado para os segmentos de atuação, competências necessárias para a execução da estratégia e as iniciativas que precisam ser desenvolvidas para cumprir o planejamento.

5.6. Identifica, mensura, monitora e reporta os riscos e oportunidades emergentes de negócio que podem afetar o cumprimento da sua estratégia, bem como acompanha semanalmente o progresso das iniciativas estratégicas junto aos principais stakeholders.

6. Sobre a gestão do risco de reputação, a Cielo:

6.1. Possui um método que fornece subsídios para identificar, avaliar, responder, monitorar e reportar os principais promotores e detratores de imagem à Diretoria Executiva, ao Conselho de Administração, por meio do Comitê de Riscos e aos órgãos reguladores, conforme o caso;

6.2. Identifica e avalia os riscos de reputação em produtos, serviços, sistemas e processos.

6.3. Possui uma estratégia de disseminação das informações, contemplando o fluxo de comunicação aos públicos de interesse com a descrição das ações necessárias conforme o impacto institucional identificado.

6.4. Monitora continuamente sua imagem e seu risco de reputação por meio de uma pesquisa de tracking de sua marca e por meio de menções e publicações em redes sociais,, na imprensa e em sites especializados.

6.5. Realiza pesquisa de reputação junto aos seus stakeholders.

7. Sobre a gestão dos riscos financeiros, a Cielo:

7.1. Mantém revisada e atualizada a Política de Gerenciamento de Riscos de Crédito, Liquidez e Mercado que estabelece as diretrizes, os papéis e responsabilidades para a gestão destes riscos.

8. Sobre a gestão do risco de Lavagem de Dinheiro e Financiamento ao Terrorismo (LD/FT), a Cielo:

8.1. Mantém revisada e atualizada a Política de Prevenção à Lavagem de Dinheiro e ao Financiamento ao Terrorismo que estabelece as diretrizes, os papéis e responsabilidades para a gestão destes riscos.

9. Sobre a gestão do risco de Conformidade, a Cielo:

9.1. Mantém revisada e atualizada a Política de Compliance que estabelece as diretrizes, os papéis e responsabilidades para a gestão deste risco.

IV. Gestão de Consequências

Colaboradores, fornecedores ou outros stakeholders que observarem quaisquer desvios às diretrizes desta Política poderão relatar o fato ao Canal de Ética (www.canaldeetica.com.br/cielo ou 0800 775 0808), podendo ou não se identificar. Internamente, a não observância das determinações desta Política acarretará em ações de gestão de consequência que poderão variar desde uma orientação sobre como proceder para anular ou ao menos minimizar os eventuais problemas criados, até a demissão por justa causa dos responsáveis.

V. Responsabilidades

A Cielo adota o conceito de 3 (três) linhas de defesa para operacionalizar sua estrutura de gerenciamento de Riscos Corporativos e Controles Internos, de forma a assegurar o cumprimento das diretrizes definidas.

1ª linha de defesa: É representada por todos os gestores das áreas de negócio e suporte, os quais devem assegurar a efetiva gestão de riscos dentro do escopo das suas responsabilidades organizacionais diretas.

2° linha de defesa: É representada pela Diretoria de Riscos, Compliance e Prevenção, que atua de forma consultiva e independente junto às áreas de negócio e suporte, com avaliação e reporte sobre o gerenciamento dos riscos, compliance, gestão da continuidade de negócios, gestão de crises e ambiente de controle à Presidência e ao Conselho de Administração, por meio do Comitê de Riscos da Cielo. A atuação da 2ª linha de defesa é segregada e independente das atividades e da gestão das áreas negócio e suporte e da Auditoria Interna.

3° linha de defesa: É representada pela Auditoria Interna e tem como objetivo fornecer opiniões independentes ao Conselho de Administração, por meio do Comitê de Auditoria, sobre o processo de gerenciamento de riscos, a efetividade dos controles internos e a governança corporativa.

  • Conselho de Administração:
    • Aprovar as diretrizes, estratégias e políticas de gestão de riscos;
    • Aprovar os limites e níveis de riscos estabelecidos na Declaração de Apetite a Riscos.
    • Autorizar, quando necessário, exceções às estratégias, diretrizes, políticas e níveis de riscos fixados na Declaração de Apetite a Riscos;
    • Deliberar sobre a assunção de riscos com impacto alto ou muito alto;
    • Garantir que a estrutura remuneratória adotada pela Cielo não interfira na independência de atuação das áreas e incentive comportamentos compatíveis com os níveis de apetite a riscos considerados aceitáveis pela Cielo;
    • Assegurar os recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos;
    • Promover a disseminação da cultura de gerenciamento de riscos na Cielo.
  • Diretoria Executiva:
    • Assegurar a aderência da Cielo às estratégias, diretrizes e políticas de gestão de riscos, assim como os limites e níveis de risco estabelecidos na Declaração de Apetite a Riscos;
    • Deliberar sobre a assunção de riscos com impacto alto ou muito alto;
    • Assegurar os recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos;
    • Promover a disseminação da cultura de gerenciamento de riscos na Cielo.
  • Diretoria de Riscos, Compliance e Prevenção
    • Monitorar o cumprimento das diretrizes estabelecidas nesta política, revisá-la anualmente, mantê-la atualizada para refletir em seu conteúdo quaisquer alterações no direcionamento da Cielo e suportar eventuais dúvidas relativas ao conteúdo e sua aplicação;
    • Promover o desenvolvimento, a implementação e o desempenho da estrutura de gerenciamento de riscos, incluindo seu aperfeiçoamento;
    • Identificar e avaliar riscos em produtos, serviços, sistemas e processos da Cielo;
    • Manter atualizada a relação dos principais riscos aos quais a Cielo está exposta, bem como avaliar e monitorar continuamente estes riscos quanto aos aspectos de impacto e probabilidade, de forma a permitir sua priorização para fins de tratamento;
    • Monitorar as perdas operacionais incorridas, bem como certificar a suficiência e eficácia dos controles internos, considerando os objetivos estratégicos e normativos internos e regulatórios;
    • Apoiar as Áreas de Negócio e Suporte no desenvolvimento de planos de ação compensatórios e/ou definitivos para responder aos riscos identificados, bem como monitorar estes planos, incluindo os originados pela Auditoria e Reguladores;
    • Realizar a Gestão da Continuidade de Negócios e Gestão de Crises;
    • Assegurar a governança dos temas de Gestão de Riscos, Controles Internos e Gestão da Continuidade de Negócios, por meio de reporte periódico nas instâncias competentes;
    • Subsidiar o processo de tomada de decisões estratégicas com informações de riscos, do ambiente de controles internos e continuidade de negócio;
    • Realizar o processo de avaliação de riscos em empresas controladas;
    • Articular e traduzir o Apetite a Riscos, tornando-o relevante, para as áreas de negócio e suporte por meio de limites de tolerância e indicadores;
    • Monitorar o cumprimento do Apetite a Riscos e reportar à Diretoria Executiva e ao Conselho de Administração, por meio do Comitê de Riscos;
    • Disseminar a cultura de Gestão de Riscos, Controles Internos e Compliance e Continuidade de Negócios na Cielo, por meio da manutenção de um programa de capacitação dos colaboradores.
  • Gerência de Sustentabilidade
    • Identificar o risco socioambiental incorrido pela Cielo, considerando as metas adotadas para o programa de sustentabilidade corporativo;
    • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas ao gerenciamento de riscos socioambientais;
    • Assegurar a governança da gestão socioambiental por meio de reporte periódico nas instâncias competentes.
  • Diretoria de Planejamento Estratégico
    • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas à gestão da estratégia;
    • Assegurar a governança do acompanhamento da estratégia por meio de reporte periódico nas instâncias competentes.
  • Diretoria de Marketing
    • Monitorar mídias sociais e identificar potenciais detratores da imagem da Cielo e de suas controladas monitoradas;
    • Subsidiar e participar no processo de tomada de decisões estratégicas relacionadas à gestão da imagem;
    • Assegurar a governança da gestão da imagem por meio de reporte periódico nas instâncias competentes.

VI. Documentação Complementar

VII. Conceitos e Siglas

  • Ambiente de controles: Consiste em um conjunto de controles representativo para um determinado risco.
  • Banco Central do Brasil (BACEN): Órgão responsável por disciplinar a constituição, o funcionamento e a fiscalização das instituições de pagamento, bem como a descontinuidade na prestação de seus serviços.
  • Controles Internos: Políticas, normas, procedimentos, métodos e mecanismos criados com o objetivo de proporcionar um grau de confiança razoável na eficácia e eficiência das operações, nos relatórios financeiros e no cumprimento das exigências regulatórias, além do atingimento dos objetivos de negócio, prevenindo ou detectando e corrigindo eventos indesejáveis.
  • Continuidade de Negócios: Atividade integrada ao gerenciamento de riscos, que utiliza a ferramenta de análise de impacto nos negócios (BIA) como direcionador para mitigar riscos de descontinuidade. Fornece uma estrutura para que se desenvolva uma resiliência organizacional, capaz de identificar antecipadamente e responder aos impactos causados pela interrupção dos principais processos da Cielo.
  • Declaração de Apetite ao Risco (RAS): Documento que contempla a formalização dos níveis de riscos que a Cielo suporta para atingir seus objetivos estratégicos e de negócio.
  • Risco: Possibilidade de que eventos aconteçam e prejudiquem a realização da estratégia e dos objetivos da Cielo.
  • Risco Operacional: Possibilidade de ocorrência de perdas resultantes dos seguintes eventos: a) falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento; b) falhas na identificação e autenticação do usuário final; c) falhas na autorização das transações de pagamento; d) fraudes internas; e) fraudes externas; f) demandas trabalhistas e segurança deficiente do local de trabalho; g) práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento; h) danos a ativos físicos próprios ou em uso pela instituição; i) ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados; j) falhas em sistemas, processos ou infraestrutura de tecnologia da informação; e k) falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento. O risco operacional inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição de pagamento, a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades envolvidas em arranjo de pagamento.
  • Risco Socioambiental: Possibilidade de perdas financeiras, operacionais e de imagem decorrentes de danos socioambientais, tais como poluição, prejuízos à saúde humana, segurança, transparência, impactos em comunidades, ameaças à biodiversidade, entre outros.
  • Risco Estratégico: Risco decorrente de mudanças adversas no ambiente de negócios ou de utilização de premissas inadequadas na tomada de decisão.
  • Risco de Reputação: Risco decorrente da percepção negativa sobre a Cielo por parte de clientes, contrapartes, acionistas, investidores ou reguladores.
  • Riscos Financeiros: Categoria de risco que engloba os riscos de Crédito, Liquidez e Mercado, definidos na Política de Gerenciamento de Riscos De Crédito, Liquidez e Mercado.
  • Stakeholders: Representam as partes interessadas da Cielo, sendo elas: colaboradores, a Diretoria Executiva, os investidores, os membros do Conselho de Administração, clientes, órgãos reguladores, fornecedores e a sociedade. Os stakeholders envolvidos podem variar conforme o nível de confidencialidade das informações compartilhadas.
  • Sociedades Coligadas: são as sociedades nas quais a Companhia tenha influência significativa, sendo que, nos termos do artigo 243, §4° e §5 da Lei das Sociedades por Ações, (i) há influência significativa quando a Companhia detém ou exerce o poder de participar nas decisões das políticas financeira ou operacional de uma sociedade, sem, contudo, controlá-la; e (ii) a influência significativa será presumida quando a Companhia for titular de 20% (vinte por cento) ou mais do capital votante da respectiva sociedade, sem, contudo, controlá-la.
  • Sociedades Controladas: são as sociedades nas quais a Companhia, direta ou indiretamente, é titular de direitos de sócia ou acionista que lhe assegurem, de modo permanente, preponderância nas deliberações sociais e o poder de eleger a maioria dos administradores, nos termos do artigo 243, §2º da Lei das Sociedades por Ações.
  • Ocorrência de Riscos: Incidente ou evento relacionado a falhas em processos, sistemas ou pessoas que tenha ocorrido na Cielo, com impactos negativos (diretos ou indiretos) para a operação tais como financeiros, reputacionais, regulatórios, de segurança, ambiental, trabalhista e de continuidade.

VIII. Disposições Gerais

É competência do Conselho de Administração da Cielo alterar esta Política sempre que se fizer necessário.

Esta Política entra em vigor na data de sua aprovação pelo Conselho de Administração e revoga quaisquer normas e procedimentos em contrário.