ITAÚ UNIBANCO HOLDING S.A.

Transcrição

1 ITAÚ UNIBANCO HOLDING S.A. CNPJ / Companhia Aberta NIRE RELATÓRIO DE ACESSO PÚBLICO GESTÃO INTEGRADA DE RISCO OPERACIONAL, CONTROLES INTERNOS E COMPLIANCE OBJETIVO Este documento tem por objetivo estabelecer as diretrizes e responsabilidades associadas à estrutura de gerenciamento de risco operacional, controles internos e compliance, observando as boas práticas de mercado, normas e regulamentações aplicáveis. PRINCÍPIOS O Itaú Unibanco é uma organização que atua de forma íntegra. A alta administração do Itaú Unibanco define as diretrizes de conduta e as posturas consideradas mais adequadas e coerentes com os valores do Conglomerado e boas práticas de mercado, que integram o Código de Ética do Itaú Unibanco e são disseminadas por diversos meios, dentre os quais a Cultura de Riscos. Os princípios que fornecem os fundamentos do gerenciamento de riscos, do apetite de risco e a forma como os colaboradores devem atuar no dia a dia para a tomada de decisão estão descritos na Política Corporativa de Gerenciamento de Riscos. Dentre eles, destacam-se os princípios da: - Cultura de Risco: a cultura de risco do Itaú Unibanco vai além de políticas, procedimentos e processos e fortalece a responsabilidade individual e coletiva de todos os colaboradores com o objetivo de que façam a coisa certa, no momento certo e de maneira correta; e - Ética e respeito à regulação: para o Itaú Unibanco, ética é inegociável. Por isso, promove um ambiente institucional íntegro, orientando os colaboradores a cultivar a ética nos relacionamentos e nos negócios, e o respeito às normas, zelando pela reputação do conglomerado. DIRETRIZES Risco Operacional, Controles Internos e Compliance Riscos são elementos inerentes a todas as atividades da instituição. O efetivo gerenciamento dos riscos deve fazer parte do dia a dia dos colaboradores, e ser compatível com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio das operações realizadas, conforme o apetite de risco estabelecido para o Conglomerado, detalhado na Política Corporativa de Apetite de Risco do Conglomerado. O gerenciamento dos riscos operacional e de conformidade deve contemplar os processos, produtos e serviços existentes ou novos, inclusive os serviços terceirizados relevantes. Tais processos, produtos e serviços devem ser periodicamente testados e avaliados quanto à aderência às normas externas, aos compromissos firmados junto a reguladores e, quando aplicável, às normas internas, inclusive requisitos relacionados ao Código de Ética. Os apontamentos levantados pelas áreas executivas, auditorias interna e externa, e reguladores devem ser acompanhados, para que seja garantido o seu efetivo tratamento pelas áreas competentes. Os riscos ou falhas relevantes constatadas nos controles existentes, bem como as situações de não conformidade relevantes identificadas por colaboradores, terceiros, reguladores ou auditoria externa, associados a cada instituição individualmente e ao Conglomerado, devem ser reportados periodicamente, interna e externamente, promovendo transparência à Alta Administração e Órgãos Externos. Os relatórios de riscos devem ser claros, objetivos e tempestivos, e devem ser reportados às comissões superiores, aos executivos das unidades de negócios, ao CRO e ao Conselho de Administração, para que o nível de exposição e enquadramento aos limites estabelecidos sejam monitorados. Para contribuir com o adequado gerenciamento dos riscos, o Itaú dispões de uma metodologia de gestão integrada de risco operacional, controles internos e compliance, composta por 5 etapas: identificação, priorização, resposta ao risco, monitoramento e reporte; e está detalhada na Política Corporativa de Metodologia Integrada de Controles Internos, Compliance e Risco Operacional.

2 Modelo de Gerenciamento de Riscos O Itaú Unibanco adota a estratégia de três linhas de defesa para operacionalizar sua estrutura de gerenciamento de Risco Operacional, Controles Internos e Compliance, e para assegurar o cumprimento das diretrizes previstas nesta política, por meio de uma abordagem integrada, e com clara divisão de papéis e responsabilidades. Primeira Linha de Defesa É representada pelas áreas de Negócio e Suporte. Seus colaboradores são os responsáveis diretos pela gestão dos riscos associados às suas operações, bem como pela execução dos controles e implementação de medidas corretivas para o devido tratamento dos riscos. Na Primeira Linha de Defesa estão também incluídos os colaboradores do departamento Jurídico. Segunda Linha de Defesa É representada pelas funções de controle de riscos e coordenação da função de conformidade, que: - estão subordinadas à Área de Controle e Gestão de Riscos e Finanças (ACGRF); - são integralmente segregadas das atividades da auditoria interna e do jurídico; e - são independentes no exercício de suas funções, possuem comunicação direta tanto com qualquer administrador, incluindo os membros do Conselho de Administração e do Comitê de Auditoria, quanto com qualquer colaborador, e têm acesso a quaisquer informações necessárias no âmbito de suas responsabilidades. É vedada, às áreas que compõem a segunda linha de defesa, a gestão de qualquer negócio em qualquer unidade que possa comprometer a sua independência ou gerar conflitos de interesse. Pelo mesmo motivo, suas metas e remuneração em qualquer unidade não podem estar relacionadas ao desempenho das áreas de negócio. Terceira Linha de Defesa É representada pela Auditoria Interna. RESPONSABILIDADES Áreas do Itaú Unibanco (Todas) - Cumprir normas externas e internas e zelar pela reputação da instituição. - Conhecer e seguir as diretrizes desta Política. - Conhecer e seguir as diretrizes do Programa de Integridade e Ética, disseminar em suas equipes seus princípios e diretrizes e estimular as atitudes e comportamentos esperados. - Realizar os treinamentos de integridade e ética, e de gestão de riscos disponibilizados pelo Itaú Unibanco. - Assinar anualmente o Termo Políticas de Integridade Corporativa atestando seu conhecimento e concordância com o estabelecido nesta política. - Definir, implantar, cumprir continuamente e atualizar políticas próprias e procedimentos para aderência à regulamentação, conforme Política Corporativa de Governança de Documentos do Conglomerado. - Identificar e discutir no Conglomerado boas práticas e tendências observadas nos mercados domésticos e internacionais, para melhoria contínua de processos do Itaú Unibanco. - Comunicar fato ou suspeita de violação ao disposto nesta política. Conselho de Administração O Conselho de Administração deve: - Aprovar: a) as diretrizes, estratégias e políticas referentes ao risco operacional, controles internos e compliance, com o objetivo de garantir o claro entendimento dos papéis e responsabilidades para todos os níveis do Conglomerado; e b) a posição da DEROC (Diretoria Executiva de Risco Operacional e Compliance) na estrutura organizacional da instituição de forma a evitar possíveis conflitos de interesses, principalmente com as áreas de negócios. - Prover meios necessários para que as atividades relacionadas ao gerenciamento integrado de risco operacional, controles internos e compliance sejam exercidas adequadamente, incluindo disponibilidade de recursos para alocação de pessoal em quantidade suficiente e com treinamento e experiência necessária. - Reunir-se com a DEROC, no mínimo anualmente, como parte da avaliação da efetividade da gestão integrada de risco operacional, controles internos e compliance.

3 - Assegurar a: a) adequada gestão desta política; b) efetividade e a continuidade da aplicação desta política; c) comunicação desta política a todos os colaboradores e prestadores de serviços terceirizados relevantes; d) disseminação de padrões de integridade e conduta ética como parte da cultura da instituição; e e) adoção de medidas corretivas para falhas de risco operacional, controles internos e compliance identificadas. A avaliação do Conselho de Administração sobre esses itens será realizada com base no relatório anual elaborado pela DEROC, reuniões periódicas com a DEROC, e avaliação anual feita pelo Comitê de Auditoria. Comitê de Auditoria O Comitê de Auditoria deve: - Validar a Política de Gerenciamento Integrado de Risco Operacional, Controles Internos e Compliance antes do envio para aprovação do Conselho de Administração. - Avaliar, no mínimo anualmente, a estrutura de Gerenciamento Integrado de Risco Operacional, Controles Internos e Compliance, no mínimo em relação aos seguintes aspectos: a) Papeis e responsabilidades - clareza de seu papel, escopo e responsabilidades. Divisão clara das responsabilidades das pessoas envolvidas nas funções de compliance e de risco operacional, de modo a evitar possíveis conflitos de interesses, principalmente com as áreas de negócios da instituição; b) Independência (i) se o posicionamento em nível hierárquico está adequado e se há segregação de áreas operacionais e de negócio; e (ii) se os mandatos estão sendo devidamente exercidos quanto à definição de escopo, execução do trabalho e comunicação de seus resultados; c) Estrutura e recursos (i) estrutura organizacional (organograma) consistente com as necessidades do Conglomerado e (ii) alocação de pessoal em quantidade suficiente, adequadamente treinado e com experiência necessária para o exercício das atividades relacionadas às respectivas funções; d) Efetividade da gestão integrada de risco operacional, controles internos e compliance; e e) Aderência à regulação e boas práticas aplicáveis. - Verificar a realização da: a) comunicação desta política a todos os colaboradores e prestadores de serviços terceirizados relevantes; b) disseminação de padrões de integridade e conduta ética como parte da cultura da instituição; e c) adoção de medidas corretivas para falhas em controles internos e de compliance identificadas. Primeira Linha de Defesa - Avaliar as normas externas e internas, bem como acompanhar as modificações no ambiente regulatório; e verificar o impacto que a regulação aplicável pode ter nos seus processos e procedimentos, e a necessidade de planos de ação para garantir sua aderência. - Orientar e aconselhar os administradores e colaboradores do Conglomerado, direcionando soluções específicas relacionadas ao cumprimento de normas externas conforme Política Corporativa de Compliance - Gestão de Aderência Regulatória. - Informar e capacitar colaboradores e prestadores de serviços terceirizados relevantes, em assuntos relativos à conformidade. - Submeter à Governança de Avaliação de Produtos qualquer novo produto, ou alteração de produto já existente, que traga impactos ao Itaú Unibanco e/ou a seus clientes, conforme disposto na Política Corporativa de Avaliação de Produtos e nas respectivas políticas de produtos de cada segmento, garantindo a conformidade dos produtos e processos às normas internas e externas vigentes aplicáveis. - Relacionar-se com reguladores, atendendo às suas solicitações, e emitindo a eles os reportes devidos, conforme Política Corporativa de Relacionamento com Órgãos Reguladores, Autorreguladores, Supervisores e Fiscalizadores. - Identificar, mensurar, avaliar e gerenciar os eventos de risco operacional e de compliance, que podem influenciar o cumprimento dos objetivos estratégicos e operacionais do Conglomerado. - Manter um efetivo ambiente de controle, por meio de abordagens preventivas e detectivas, em relação às atividades desenvolvidas internamente e às atividades terceirizadas relevantes sob sua coordenação; aos seus sistemas de informações financeiras, operacionais e gerenciais; ao cumprimento das normas externas e internas aplicáveis. O ambiente de controle deve ser consistente com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio das operações realizadas, de forma a assegurar o efetivo gerenciamento de seus riscos, inclusive o de

4 conformidade, mantendo a exposição aos riscos em níveis aceitáveis conforme o apetite de risco estabelecido para o Conglomerado, detalhado na Política Corporativa de Apetite de Risco do Conglomerado. - Gerenciar as perdas de risco operacional. - Documentar e armazenar as informações referentes às perdas associadas ao risco operacional e de compliance e reportálas à Diretoria de Controles Internos e Risco Operacional (DCIRO), conforme Política Corporativa de Base de Dados de Eventos de Risco Operacional. - Definir e implantar os planos de ação para endereçamento dos apontamentos efetuados pelas auditorias interna e externa, reguladores, controles internos e compliance. - Reportar à DEROC os eventos de risco operacional relevantes associados a cada instituição individualmente e ao Conglomerado e os respectivos desvios em relação aos níveis de tolerância estabelecidos e aprovados no Comitê de Gestão de Risco e Capital (CGRC), com periodicidade mínima anual. - Comunicar prontamente à área de risco operacional, controles internos, compliance, ou Ombudsman, sempre que identificar alterações em relação às normas e regulamentações vigentes, ou riscos não previstos no desenvolvimento das atividades de controle. - Estabelecer planos de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar perdas decorrentes de risco operacional, conforme diretrizes estabelecidas na Política Corporativa de Continuidade de Negócios. Segunda Linha de Defesa Área de Controle e Gestão de Riscos e Finanças (ACGRF) Divulgar e garantir a aplicação das decisões, políticas e estratégias para o gerenciamento do risco operacional, controles internos e compliance às áreas de Negócio e Suporte e aos Chief Risk Officers (CROs) das unidades internacionais. Assegurar-se de que as equipes de Controle de Riscos, Compliance e Controles Internos têm autoridade apropriada, e são adequadas tanto em recursos quanto em conhecimento, e promover capacitação e treinamentos necessários, conforme disposto na Política Corporativa de Gerenciamento de Riscos. Comunicar ao Comitê de Auditoria e Conselho de Administração alterações dos administradores da DEROC. Diretoria Finanças Atacado Efetuar o cálculo e a alocação de capital para risco operacional por Unidade de Negócio e de Suporte pela Abordagem Padronizada Alternativa (ASA). Efetuar o cálculo e a alocação de capital econômico para risco operacional (ICAAP). Monitorar a adequação do nível de Patrimônio de Referência (PR) com relação ao risco operacional assumido pelo Conglomerado. Diretoria Executiva de Risco Operacional e Compliance (DEROC) É composta pela Diretoria de Compliance Corporativo (DCC), pela Diretoria de Controles Internos e Riscos Operacionais (DCIRO), e pela Diretoria de Segurança Corporativa (DSC). Nas Unidades Internacionais, existe estrutura local e independente responsável pelo controle dos riscos operacional e de conformidade, sob responsabilidade dos CROs locais, que se reportam matricialmente à DEROC. Atribuições da DEROC, (por meio de suas estruturas de Oficiais de Controles Internos e Riscos (OCIRs) e de Compliance): - Apoiar a primeira linha de defesa na observação de suas responsabilidades diretas. - Disseminar os padrões de integridade e cultura ética como parte da cultura de riscos e controles do Conglomerado e divulgar as boas práticas e políticas relacionadas ao gerenciamento integrado de Risco Operacional, Controles Internos e Compliance. - Orientar e aconselhar os administradores e colaboradores do Conglomerado, direcionando soluções específicas sobre o cumprimento de normas internas relacionadas ao Programa de Integridade e Ética. - Orientar e aconselhar os administradores e colaboradores do Conglomerado, direcionando soluções específicas relacionadas ao cumprimento de normas externas conforme Política Corporativa de Compliance - Gestão de Aderência Regulatória. - Avaliar os incentivos a cumprimento de normas e regulamentações nos diversos sistemas de remuneração variável do conglomerado, inclusive de administradores. - Desenvolver e disponibilizar as metodologias, ferramentas, sistemas, infraestrutura e governança necessárias para suportar o gerenciamento integrado de Risco Operacional, Controles Internos e Compliance nas atividades do

5 Conglomerado e terceirizadas relevantes, com base no porte, complexidade, estrutura, perfil de risco e modelos de negócios do Conglomerado. - Priorizar os eventos de risco operacional e de compliance identificados, conforme sua severidade (elevada, moderada ou baixa), mensurar e monitorar a exposição do conglomerado a esses riscos. - Garantir revisão e atualização periódica dos controles internos, de forma que sejam incorporadas medidas relacionadas a eventos de risco operacional novos ou anteriormente não abordados. - Certificar a eficiência do ambiente de controle e de conformidade da Primeira Linha de Defesa, por meio de programas de monitoramento, testes de controles, reportando o risco residual de modo independente. - Revisar e acompanhar, periodicamente, o endereçamento dos apontamentos efetuados pelas auditorias interna e externa (incluindo os originários do relatório de descumprimento de dispositivos legais e regulamentares) e reguladores. - Assegurar a existência de governança de avaliação de produtos e serviços, bem como avaliar previamente o risco operacional e de compliance envolvidos em sua alteração e criação, conforme disposto na Política Corporativa de Avaliação de Produtos e nas respectivas políticas de produtos de cada segmento. - Assegurar a governança dos temas de Risco Operacional, Controles Internos e Compliance, por meio de reporte aos órgãos colegiados do Conglomerado, conforme Política Corporativa - Estrutura do Itaú Unibanco Holding S.A., incluindo Diretoria, Comitê de Auditoria, Conselho de Administração e CGRC. - Reportar à Diretoria, ao Comitê de Auditoria e ao Conselho de Administração as situações de não conformidade relevantes e as deficiências de controle relevantes, associadas a cada instituição individualmente e ao Conglomerado, identificadas pelas linhas de defesa, reguladores ou auditoria externa, conforme Política Corporativa - Estrutura do Itaú Unibanco Holding S.A. - Reportar periodicamente informações sobre situação de conformidade às comissões superiores, aos executivos das unidades de negócios, ao CRO e ao Conselho de Administração. - Comunicar às comissões superiores, aos executivos das unidades de negócio, ao CRO, ao Comitê de Auditoria, ao CA e ao CGRC, os riscos ou falhas relevantes constatadas nos controles existentes, bem como as situações de não conformidade relevantes identificadas pelas linhas de defesa, reguladores ou auditoria externa, associados a cada instituição individualmente e ao Conglomerado. Atribuições da DCIRO - Validar, de forma independente, políticas e processos para fins de certificação, conforme descrito em política corporativa. - Validar a classificação de risco operacional dos projetos que demandem desenvolvimento tecnológico. - Validar a implantação dos planos de ação dos pontos de auditoria interna, moderados não SOX, conforme descrito na Política Corporativa de Auditoria Interna. - Manter documentadas e armazenadas as informações referentes às perdas associadas ao risco operacional, incorridas pelo Conglomerado e por outras instituições, e reportadas nos comitês quando aplicável ou conforme descrito em política corporativa. - Criar cenários de riscos operacionais para estimar a exposição da instituição a eventos de riscos operacionais raros e de alta severidade, porém considerados plausíveis, e fornecer informações sobre o risco potencial, gerando estimativas de perdas, considerando, quando necessário, o impacto da ocorrência simultânea de múltiplos eventos de risco operacional. Esta responsabilidade se aplica às unidades no Brasil. - Coordenar as atividades de desenvolvimento dos planos de continuidade de negócios. - Coordenar as atividades de Risco Operacional, e Controles Internos e sua atribuição junto às áreas de Negócio e Suporte. Atribuições da DCC - Manter evidência da aprovação desta política pelo Conselho de Administração. - Definir princípios e diretrizes para disseminação da Cultura de Compliance, incluindo treinamentos. - Apresentar necessidades relacionadas à alocação de pessoal em quantidade suficiente, adequadamente treinado e com experiência necessária para o exercício das atividades relacionadas à função de Compliance. - Gerenciar o processo de elaboração, padronização, revisão anual, aprovação e publicação de políticas institucionais, tornando-as acessíveis aos colaboradores e demais stakeholders, atendendo às diretrizes regulatórias, conforme a Política Corporativa - Governança de Documentos do Conglomerado. - Realizar o monitoramento de Políticas de Investimentos Pessoais e da Política de Negociação de Valores Mobiliários de emissão do Itaú Unibanco Holding S.A., a fim de evitar descumprimento à legislação, às diretrizes internas e boas práticas do mercado. - Validar a classificação de risco regulatório dos projetos que demandem desenvolvimento tecnológico.

6 - Enviar tempestivamente ao Conselho de Administração e ao Comitê de Auditoria informações relevantes sobre alterações no ambiente regulatório e resultados das atividades de compliance e sobre falhas materiais de conformidade que possam gerar significativos riscos legais ou reputacionais, sanções regulatórias ou perdas financeiras predominantemente oriundas de riscos regulatórios. Os reportes devem considerar aspectos como: avaliações realizadas, mudanças nos riscos de compliance ou no ambiente de controle relacionado, deficiências e apontamentos relevantes identificados e respectivos planos de ação. - Elaborar relatório anual contendo sumário dos resultados das atividades relacionadas aos temas de compliance, principais conclusões, recomendações e planos de ação adotados, bem como as providências tomadas pelo Conselho de Administração. O relatório deve ser encaminhado ao Comitê de Auditoria e Conselho de Administração como suporte à avaliação da efetividade da gestão de compliance, e deve ser mantido à disposição do Bacen, pelo período mínimo de cinco anos. - Opcionalmente, solicitar a realização de atividades por outras áreas, continuando responsável pela orientação e avaliação dos resultados. - Coordenar a função de Compliance, que abrange: Gestão da aderência regulatória, conforme Política Corporativa de Compliance Gestão de aderência Regulatória, que compreende a: (i) identificação de reguladores, e demais entidades no Brasil e no exterior que norteiam os mercados de atuação da instituição; o (ii) estabelecimento, conjuntamente com as demais áreas pertinentes da instituição, dos processos para captura e avaliação das leis, normativos, regulamentos, resoluções, instruções, circulares, códigos, termos de compromisso, termos de ajustamento de conduta, recomendações; a (iii) definição da metodologia de análise legislativa e de acompanhamento da adequação da Instituição à legislação, regulamentação e autorregulamentação aplicáveis, identificando responsáveis e prazos para implantação do plano de ação para assegurar aderência e cumprimento; e a (iv) instituição de critérios e metodologia para monitoramento (acompanhamento periódico), identificação e avaliação dos riscos de compliance, incluindo os riscos decorrentes de conduta inapropriada ou ilícita. Garantia da existência de processos definidos para atendimento a regulações específicas, como os listados a seguir, sendo responsável pela definição, desenvolvimento, manutenção e melhoria contínua de Programas de Compliance adequados à natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio da instituição e de acordo com a evolução do ambiente regulatório. Quando não for o responsável direto, auxiliar no desenvolvimento dos processos, e sistemas, avaliando-os e acompanhando-os: - Programa de Integridade e Ética, que tem suas diretrizes definidas na Política Corporativa de Integridade e Ética e na Política Corporativa de Prevenção à Corrupção; - Programa de Relacionamento com Clientes, cujas diretrizes estabelecidas constam na Política Institucional de Relacionamento com Clientes e Usuários de Produtos e Serviços Financeiros; - Monitoramento de Práticas Abusivas (Trade Surveillance), sob diretrizes que constam na Política Corporativa de Conduta na Negociação e Intermediação de Títulos e Valores Mobiliários - DGA; - Programa de Barreiras de Informação, sob diretrizes que constam na Política Corporativa de Segregação de Atividades - DGA; - Programa Socioambiental, com diretrizes contempladas nas políticas corporativas de Sustentabilidade e Responsabilidade Socioambiental; - Sistema de Segurança da Informação, com diretrizes constantes na Política Corporativa de Segurança da Informação; - Prevenção e Combate à Lavagem de Dinheiro, com diretrizes contempladas na Política Corporativa de Prevenção a Atos Ilícitos; - Vedações e Sanções Comerciais, sobre as quais deve-se assegurar a existência de procedimentos para evitar que a instituição realize negócios e pagamentos com partes vedadas ou sancionadas; com diretrizes contempladas na Política Corporativa de Prevenção a Atos Ilícitos; - Programa Corporativo de Gestão de Crises, com diretrizes contempladas na Política Corporativa de Gerenciamento de Crises; - Programa de Continuidade de Negócios com diretrizes contempladas na Política Corporativa de Continuidade de Negócios. Gestão do relacionamento com reguladores: coordenar o relacionamento e reporte para reguladores, acompanhar as ações originadas dos compromissos assumidos, facilitando o compartilhamento de informações e garantindo a consistência do posicionamento institucional conforme Política Corporativa de Relacionamento com Órgãos Reguladores, Autorreguladores, Supervisores e Fiscalizadores. Atribuições da DSC - Coordenar o programa de prevenção a atos ilícitos, dentre eles a lavagem de dinheiro e o terrorismo, conforme diretrizes descritas na Política Corporativa de Prevenção e Combate a Atos Ilícitos;

7 - Coordenar o Sistema de Segurança da Informação, com diretrizes constantes na Política Corporativa de Segurança da Informação; e - Coordenar o Programa Corporativo de Gestão de Crises, com diretrizes contempladas na Política Corporativa de Gerenciamento de Crises. Terceira Linha de Defesa Verificar de forma independente e periódica, a adequação dos processos e procedimentos de identificação e gerenciamento dos riscos, incluindo o gerenciamento integrado de risco operacional, controles internos e compliance, conforme as diretrizes estabelecidas na Política Corporativa de Auditoria Interna e submeter os resultados dos seus apontamentos ao Comitê de Auditoria. CANAIS DE DENÚNCIAS Todo colaborador ou terceiro que se deparar com um fato ou suspeita de violação de uma diretriz, lei, risco em processos, regulamento ou norma, deve comunicar o fato prontamente aos canais competentes, disponíveis no Código de Ética do Itaú Unibanco. PROTEÇÃO A DENUNCIANTES a) Administradores e colaboradores não podem praticar atos de Retaliação contra aquele que, de boa-fé: (i) denunciar ou manifestar queixa, suspeita, dúvida ou preocupação relativas a possíveis violações às diretrizes desta Política; e (ii) fornecer informações ou assistência nas apurações relativas a tais possíveis violações. b) Manifestações anônimas devem ser aceitas pelos Canais de Denúncia e o anonimato deve ser preservado. Também são aceitas manifestações identificadas. c) É assegurado tratamento confidencial e proteção da identidade do denunciante. d) Sanção disciplinar deve ser aplicada a administradores ou colaboradores que, comprovadamente, tentarem praticar ou praticarem retaliação contra quem, de boa-fé, comunicar possíveis violações às diretrizes desta Política. e) Sanção disciplinar deve ser aplicada a administradores ou colaboradores que, comprovadamente, utilizarem de má-fé ao comunicarem possíveis violações às diretrizes desta Política ou comunicarem fatos sabidamente falsos. SANÇÕES DISCIPLINARES O descumprimento de quaisquer diretrizes ou princípios estabelecidos nesta política está sujeito a sanções disciplinares, medidas administrativas ou criminais, sem prejuízo de outras penalidades ou medidas cabíveis de acordo com a legislação em vigor. DOCUMENTOS RELACIONADOS - Basel Committee on Banking Supervision - Compliance and the compliance function in Banks (April 2005) - Resolução nº 2.554/98 do Conselho Monetário Nacional: dispõe sobre a implementação e implantação de sistema de controles internos - Resolução nº 4.557/17 do Conselho Monetário Nacional: dispõe sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital - Resolução nº 4.595/17 do Conselho Monetário Nacional: dispõe sobre a política de conformidade (compliance) das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. GLOSSÁRIO Abordagem Padronizada Alternativa (ASA): o Conglomerado utiliza a abordagem ASA para o cálculo e reporte de seu capital regulatório de risco operacional, sendo ambos realizados pela Diretoria de Controle Gerencial e Orçamentos. Para fins de gestão, o cálculo do capital gerencial pode considerar as informações de bases de eventos de risco, indicadores, planos de continuidade de negócios e cenários, dentre outras. Fornecedores de serviços terceirizados relevantes: sua relevância é classificada pela área de Compras, conforme análise do risco operacional, de continuidade de negócios, de relevância financeira, trabalhista e reputacional. Produtos: produtos, operações específicas, estruturas específicas, serviços e processos, para qualquer segmento de negócio.

8 Órgãos Externos: poderes executivo, legislativo e judiciário; ministério público; reguladores; autorreguladores; entidades de classe e órgãos de defesa do consumidor. Reguladores: órgãos reguladores, autorreguladores, supervisores, fiscalizadores e entidades representativas dos setores de atuação do Conglomerado no Brasil e no exterior. Retaliação: qualquer ato de retaliação, perseguição, revide ou vingança praticado em razão de denúncias ou manifestações de dúvidas, suspeitas ou contestações de possíveis violações a esta política ou de ações ilegais e antiéticas. São exemplos de retaliação: ameaças, má avaliação, inclusão em lista negra, aplicação de suspensão, desligamento, entre outros. Aprovado pelo Conselho de Administração em 15/12/2017.