POLÍTICA INSTITUCIONAL DO SISTEMA DE CONTROLES INTERNOS

Transcrição

1 POLÍTICA INSTITUCIONAL DO SISTEMA DE CONTROLES INTERNOS Belo Horizonte, Novembro de Diretoria Executiva de Produtos e Compliance Diretoria de Compliance Gerência de Compliance Coordenação de Compliance e Controles Internos

2 SUMÁRIO 1. INTRODUÇÃO Estrutura Integrada de Controles Internos Resolução CMN nº 2.554/ ESTRUTURA DE GESTÃO DO SISTEMA DE CONTROLES INTERNOS ABRANGÊNCIA PAPÉIS E RESPONSABILIDADES Conselho de Administração ou Diretoria Comitê de Auditoria Comitê Diretivo Comitê Executivo Comitê de Compliance e Controles Internos Diretoria de Compliance Responsável pelos Controles Internos Gerência de Compliance Coordenação de Compliance e Controles Internos Diretoria da Gestão de Gestão da Estratégia e Riscos Gerência Executiva de Auditoria Interna Gerência de Ouvidoria Controladoria Gerência de Infraestrutura e Segurança de TI Todos os colaboradores do Mercantil do Brasil Auditoria Externa GESTÃO DO SISTEMA DE CONTROLES INTERNOS Metodologia aplicada Ambiente de Controle Avaliação e Gerenciamento de Riscos Atividades de Controle Informação e Comunicação Monitoramento e Aperfeiçoamento Ferramentas utilizadas Questionário CSA Relatórios de áreas afins Recomendações Planos de Ação Relatórios do Sistema de Controles Internos Comitê de Compliance e Controles Internos Planos de Ação Bacen Rating Documentação e armazenamento dos dados PERIODICIDADE DE ATUALIZAÇÃO CONSIDERAÇÕES FINAIS... 17

3 1. INTRODUÇÃO O Sistema de Controles Internos, como componente das práticas de Governança Corporativa, ajuda as organizações a alcançarem importantes objetivos e melhorarem seu desempenho, permitindo o aprimoramento do processo decisório. Controles internos, então, são um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável à realização dos objetivos relacionados a operações, divulgação e conformidade. O propósito é de que todos os níveis da organização sejam conscientizados da importância de avaliar riscos no desempenho de suas tarefas, com o intuito de obter: Eficácia e eficiência nas operações significa observar atentamente os trâmites normais de análise, formalização e finalização de transações para evitar perdas; Confiabilidade e integridade das informações financeiras, gerenciais e operacionais relacionam-se com a qualidade da informação disponível e como é trabalhada; e Cumprimento de leis e regulamentos, tanto internos como externos assegura a manutenção da reputação (imagem) da instituição. Em atendimento à Resolução CMN nº 2.554/98, o Mercantil do Brasil implementou, tempestivamente, o Sistema de Controles Internos. Assim, este documento tem como objetivo formalizar a Política Institucional do Sistema de Controles Internos no Mercantil do Brasil, norteando a filosofia, princípios, conceitos, papeis, responsabilidades e procedimentos relacionados ao tema. Com isso, a Instituição busca formalizar, padronizar, aculturar, facilitar e incentivar a adoção de controles internos adequados nos processos e sistemas inerentes às operações realizadas, atendendo, assim, ao disposto na Resolução CMN nº 2.554/ Estrutura Integrada de Controles Internos A fim de alcançar os objetivos de adequação do Sistema de Controles Internos, o Mercantil do Brasil implementou metodologia baseada na Estrutura Integrada de Controles Internos, elaborada pela organização internacionalmente conhecida por COSO Committee of Sponsoring Organizations of the Treadway Commission, que apresenta controles internos como um processo contínuo, constituído de cinco elementos essenciais, tratados com mais detalhes no item 5.1 desta política: Ambiente de Controle conjunto de normas, processos e estruturas que fornece a base para a condução dos controles internos por toda a organização; Avaliação e Gerenciamento dos Riscos processo dinâmico e interativo para identificar e avaliar os riscos à realização dos objetivos, aliados ao conjunto de decisões e ações que visem mitigar os riscos até o apetite tolerado pela Instituição; Atividades de Controle ações, estabelecidas por meio de políticas e procedimentos, que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar os riscos inerentes à realização dos objetivos; Informação e Comunicação processo contínuo e interativo de obter, proporcionar e compartilhar as informações necessárias; Monitoramento e Aperfeiçoamento avaliações contínuas, independentes, ou uma combinação das duas, para se certificar da presença e do funcionamento de cada um dos cinco componentes de controles internos. Os controles internos auxiliam as organizações no alcance de seus objetivos e na melhoria de seu desempenho. Uma Estrutura Integrada de Controles Internos permite que a organização desenvolva, de forma efetiva e eficaz, uma sistemática que se adapte às constantes mudanças do ambiente corporativo, além de reduzir os riscos para níveis aceitáveis e apoiar o processo de tomada de decisão. 2

4 1.2. Resolução CMN nº 2.554/98 A Resolução CMN nº 2.554, de 24 de setembro de 1998, determinou às instituições financeiras a implantação e a implementação de controles internos voltados para as atividades por elas desenvolvidas, bem como para seus sistemas de informações financeiras, operacionais e gerenciais, além do cumprimento das normas legais e regulamentares a elas aplicáveis. A Resolução determina o monitoramento de controles internos que prevejam, dentre outros aspectos: A definição de responsabilidades dentro da instituição; A segregação de atividades de forma a evitar conflito de interesses; Meios de identificar e avaliar fatores que possam afetar a realização dos objetivos da instituição; Canais de comunicação que assegurem aos funcionários o acesso a confiáveis, tempestivas e compreensíveis informações consideradas relevantes para suas tarefas e responsabilidades; A contínua avaliação dos diversos riscos associados às atividades da instituição; O acompanhamento sistemático das atividades desenvolvidas, de forma que se possa avaliar, dentre outros aspectos, se os objetivos da Instituição estão sendo alcançados; A existência de testes periódicos de segurança para os sistemas de informações. Conforme mencionado no Art. 2º da referida Resolução, as disposições dos controles internos devem ser acessíveis a todos os funcionários da instituição de forma a assegurar que sejam conhecidas as correspondentes funções no processo e as responsabilidades atribuídas aos diversos níveis da organização. 2. ESTRUTURA DE GESTÃO DO SISTEMA DE CONTROLES INTERNOS Por meio de uma estrutura adequada, o Sistema de Controles Internos pode ser desenvolvido de maneira efetiva, adaptando-se a um ambiente operacional e de negócios dinâmico. Com isso, esperase que riscos sejam mitigados a níveis aceitáveis, e os processos de tomada de decisão e de governança da Instituição sejam consonantes com as expectativas dos stakeholders. Assim, o Sistema de Controles Internos deve ser adequado à natureza, complexidade e risco das operações realizadas pelo Mercantil do Brasil, em conformidade com o parágrafo primeiro do artigo 1º da Resolução CMN nº 2.554/98. Delegada à Coordenação de Compliance e Controles Internos, a Estrutura de Gestão do Sistema de Controles Internos é coordenada pela Gerência de Compliance, subordinada à Diretoria de Compliance e, por sua vez, à Diretoria Executiva de Produtos e Compliance. Assim como nos demais processos do Mercantil do Brasil, essa centralização da gestão resulta em maior agilidade e assertividade na tomada de decisões. Visando envolver todos os colaboradores e garantir a efetividade do Sistema de Controles Internos, a estrutura foi organizada de modo a contemplar uma definição única a todas as empresas do grupo, bem como a permitir uma gestão integrada dos controles internos. Dessa forma, todos os colaboradores devem atuar em prol de um ambiente operacional e de negócios mais seguro e aderente aos valores e objetivos do Mercantil do Brasil. 3

5 A adoção, em toda a Instituição, dos princípios e metodologias expostos nesta política e sob o monitoramento e controle da Gerência de Compliance objetiva, ainda, estimular o comprometimento de todos para com os resultados, o que permite intervenções positivas e favorece uma gestão dinâmica e participativa. Organograma: 4

6 3. ABRANGÊNCIA A Estrutura de Gestão do Sistema de Controles Internos atuará em favor da implementação de melhores controles nos processos de cada instituição individualmente, cuja soma corresponde ao conglomerado prudencial. No surgimento de necessidades específicas, as empresas não financeiras do Mercantil do Brasil poderão ser acompanhadas. 4. PAPÉIS E RESPONSABILIDADES Os papéis e responsabilidades da Estrutura de Gestão do Sistema de Controles Internos no Mercantil do Brasil estão distribuídos em diferentes níveis hierárquicos: Conselho de Administração ou Diretoria; Comitê de Auditoria; Comitê Diretivo; Comitê Executivo; Comitê de Compliance e Controles Internos; Diretoria de Compliance; Gerência de Compliance; Coordenação de Compliance e Controles Internos; e também as áreas que compõem as demais linhas de defesa do Mercantil do Brasil: Diretoria da Gestão de Gestão da Estratégia e Riscos; Gerência Executiva de Auditoria Interna; Gerência de Ouvidoria; Gerência de Infraestrutura e Segurança de TI; Controladoria; bem como todos os colaboradores do Mercantil do Brasil e a Auditoria Externa Conselho de Administração ou Diretoria Patrocinar a implementação eficaz e adequada do Sistema de Controles Internos em todo o Mercantil do Brasil; Ter ciência da Política Institucional e instrumentos utilizados na Gestão do Sistema de Controles Internos; 5

7 Prover meios para fiscalizar a Estrutura do Sistema de Controles Internos no Mercantil do Brasil quanto à adoção e cumprimento dos procedimentos definidos nesta Política; Aprovar os Relatórios do Sistema de Controles Internos, solicitando adoção de medidas que visem adequar os controles internos à natureza, complexidade e risco das operações realizadas no Mercantil do Brasil Comitê de Auditoria Contribuir para a melhoria da qualidade e confiabilidade das informações, no tocante à Gestão do Sistema de Controles Internos; Ter ciência da Política Institucional e instrumentos utilizados na Gestão do Sistema de Controles Internos Comitê Diretivo Conhecer e aprovar a Política Institucional do Sistema de Controles Internos, válida para todo o Mercantil do Brasil; Estabelecer os objetivos da Estrutura do Sistema de Controles Internos e patrocinar os procedimentos para a efetividade da gestão no Mercantil do Brasil; Promover elevados padrões éticos e de integridade e cultura organizacional que demonstrem e enfatizem a todo o Mercantil do Brasil a importância de um elevado Ambiente de Controle na Instituição e do papel de cada colaborador no sistema; Conhecer os Relatórios do Sistema de Controles Internos, solicitando adoção de medidas que visem adequar os controles internos à natureza, complexidade e risco das operações realizadas no Mercantil do Brasil Comitê Executivo Conhecer e patrocinar a adequada aplicação das diretrizes da Política Institucional do Sistema de Controles Internos em todo o Mercantil do Brasil; Apoiar a Estrutura do Sistema de Controles Internos, objetivando o envolvimento de todo o Mercantil do Brasil, necessário para o cumprimento desta Política Institucional e a manutenção das boas práticas de Controles Internos; Favorecer a promoção do aculturamento do Sistema de Controles Internos de forma ampla e completa entre todos os colaboradores do Mercantil do Brasil; Aprovar mecanismos apropriados de Controles Internos e assegurar a existência de processos que efetivamente visem à mitigação de riscos de diversas fontes no Mercantil do Brasil; Garantir que os objetivos do Sistema de Controles Internos, a tolerância a riscos e os limites estabelecidos estejam sendo considerados em todo o Mercantil do Brasil; Manifestar-se sobre os Relatórios do Sistema de Controles Internos, propondo e patrocinando a adoção de controles nas diversas áreas que estão sob responsabilidade; Fixar as alçadas decisórias relacionadas à Estrutura do Sistema de Controles Internos e definir as atividades de controles internos em todos os níveis do Mercantil do Brasil; Verificar continuamente a adoção e o cumprimento dos objetivos estabelecidos e dos procedimentos executados no Sistema de Controles Internos. 6

8 4.5. Comitê de Compliance e Controles Internos O Comitê de Compliance e Controles Internos, é composto por titulares, ou seus substitutos, das seguintes áreas: Diretoria Executiva de Produtos e Compliance; Diretoria de Compliance; Diretoria Executiva de Controladoria; Diretoria Executiva de Tecnologia e Infraestrutura; Diretoria de Gestão da Estratégia e Riscos; Gerência de Compliance; Gerência Executiva de Auditoria Interna e pela Gerência de Ouvidoria. Eventualmente, titulares de outras unidades organizacionais podem ser convidados, de acordo com a pauta da reunião. Cada membro, individualmente, tem como responsabilidade levantar e informar ao Comitê pontos de vulnerabilidades que considerem estratégicos e corporativos, a fim de que seja avaliada a criticidade dos apontamentos. Esta avaliação será realizada de forma colegiada, em reuniões bimestrais ou de acordo com as necessidades apresentadas. As principais atribuições do Comitê de Compliance e Controles Internos são: Aprovar a Política Institucional do Sistema de Controles Internos e os procedimentos formais nela estabelecidos; Deliberar acerca de pontos de vulnerabilidade críticas e que tenham abrangência corporativa quanto ao estabelecimento de planos de ação; Convocar colaboradores responsáveis por processos ou áreas envolvidas nos planos de ação corporativos para maiores esclarecimentos sobre os procedimentos que serão adotados; Registrar, em ata, todas as decisões, avaliações e argumentação para aceitação de pontos de vulnerabilidade ou adoção de planos de ação corporativos; Acompanhar o andamento de planos de ação corporativos que estejam paralisados ou atrasados e interagir com as diretorias responsáveis para regularização da situação; Posicionar regularmente a Alta Administração sobre as atividades do Comitê e fazer as recomendações que julgar apropriadas; Apoiar as estruturas de linhas de defesa com vistas à devida adequação de atividades de controles aos níveis de riscos identificados; Manifestar-se sobre os Relatórios do Sistema de Controles Internos, solicitando adoção de medidas que visem adequar os controles internos à natureza, complexidade e risco das operações realizadas no Mercantil do Brasil Diretoria de Compliance Responsável pelos Controles Internos Conhecer e patrocinar a difusão das diretrizes da Política Institucional do Sistema de Controles Internos; Acompanhar a efetividade da Estrutura do Sistema de Controles Internos quanto à adoção dos procedimentos definidos nesta Política; Interagir com o Comitê Executivo para o estabelecimento de objetivos e a adequação dos procedimentos adotados no Sistema de Controles Internos no Mercantil do Brasil; Apreciar os Relatórios do Sistema de Controles Internos, sugerindo medidas para promoção dos padrões e cultura de Controles Internos no Mercantil do Brasil; Acompanhar a implementação das metodologias, dos modelos e das ferramentas do Sistema de Controles Internos, em conformidade com os dispositivos legais aplicáveis; Patrocinar as ações de aculturamento acerca de questões de controles internos que ocorrerão em toda a Instituição. 7

9 4.7. Gerência de Compliance Adotar e praticar as diretrizes da Política Institucional do Sistema de Controles Internos; Difundir o conceito de Controles Internos e consolidar o seu gerenciamento, que são únicos para o todo o Mercantil do Brasil; Documentar, divulgar e disponibilizar as metodologias e as ferramentas que proporcionem a efetividade do Sistema de Controles Internos, em conformidade com as melhores práticas; Interagir com todas as áreas do Mercantil do Brasil para garantir a aplicação eficiente das metodologias e ferramentas adotadas para a gestão do Sistema de Controles Internos; Identificar, por meio das atividades inerentes à área, as inconformidades com normas e regulamentos, internos e externos, nos processos do Mercantil do Brasil; Manter-se atualizada por meio de treinamentos, reuniões técnicas, seminários e demais eventos que permitam o contínuo desenvolvimento do Sistema de Controles Internos no Mercantil do Brasil; Disponibilizar os Relatórios do Sistema de Controles Internos para o Conselho de Administração, as Auditorias Interna e Externa, bem como Comitê de Auditoria e Comitê de Compliance e Controles Internos; Disponibilizar o Relatório Semestral de Controles Internos da Mercantil do Brasil Corretora Coordenação de Compliance e Controles Internos Elaborar, atualizar e divulgar a Política Institucional do Sistema de Controles Internos; Avaliar a efetividade dos controles internos da Instituição; Recomendar adoção ou adequação de atividades de controles internos sempre que alguma vulnerabilidade que prejudique o alcance dos objetivos estratégicos for identificada; Acompanhar a implementação, por parte dos gestores, dos planos de ação elaborados para melhoria nos controles internos; Promover continuamente ações de aculturamento que permitam a compreensão e a valorização dos conceitos e da adoção de Controles Internos em todo o Mercantil do Brasil; Elaborar os Relatórios do Sistema de Controles Internos e atualizar os demais relatórios exigidos por órgãos reguladores e fiscalizadores; Elaborar e organizar os descritivos dos relatórios circunstanciados em atendimento aos trabalhos dos Auditores Independentes, bem como atuar junto aos mesmos para melhoria no Sistema de Controles Internos do Mercantil do Brasil; Coordenar a execução do Comitê de Compliance e Controles Internos, por meio da marcação de reuniões, proposição de pautas e formalização em ata das decisões; Manter-se atualizada por meio de treinamentos, reuniões técnicas, seminários e demais eventos que permitam o contínuo desenvolvimento do Sistema de Controles Internos no Mercantil do Brasil. 8

10 Áreas que integram as demais Linhas de Defesa do Mercantil do Brasil: 4.9. Diretoria da Gestão de Gestão da Estratégia e Riscos Conhecer e praticar esta Política Institucional do Sistema de Controles Internos; Identificar as principais vulnerabilidades nos processos contábeis que impactem a elaboração de reportes financeiros do Mercantil do Brasil; Informar, ao Comitê de Compliance e Controles Internos, as vulnerabilidades identificadas; Tomar conhecimento dos Relatórios do Sistema de Controles Internos; Atuar na promoção de adequado Sistema de Controles Internos no Mercantil do Brasil Gerência Executiva de Auditoria Interna Conhecer esta Política Institucional do Sistema de Controles Internos; Testar, por meio dos trabalhos de auditoria, a adequação dos Controles Internos na Instituição; Informar, ao Comitê de Compliance e Controles Internos, as vulnerabilidades identificadas durante os trabalhos de auditoria e mantidas após follow-up; Tomar conhecimento dos Relatórios do Sistema de Controles Internos; Atuar na promoção de adequado Sistema de Controles Internos no Mercantil do Brasil Gerência de Ouvidoria Conhecer esta Política Institucional do Sistema de Controles Internos; Identificar as principais vulnerabilidades em processos ou produtos do Mercantil do Brasil que possam prejudicar as relações comerciais com seus clientes; Informar, ao Comitê de Compliance e Controles Internos, as vulnerabilidades identificadas; Tomar conhecimento dos Relatórios do Sistema de Controles Internos; Atuar na promoção de adequado Sistema de Controles Internos no Mercantil do Brasil Controladoria Conhecer e praticar esta Política Institucional do Sistema de Controles Internos; Identificar as principais vulnerabilidades nos processos contábeis que impactem a elaboração de reportes financeiros do Mercantil do Brasil; Informar, ao Comitê de Compliance e Controles Internos, as vulnerabilidades identificadas; Tomar conhecimento dos Relatórios do Sistema de Controles Internos; Atuar na promoção de adequado Sistema de Controles Internos no Mercantil do Brasil. 9

11 4.13. Gerência de Infraestrutura e Segurança de TI Conhecer esta Política Institucional do Sistema de Controles Internos; Testar, periodicamente, a segurança dos sistemas de informação do Mercantil do Brasil; Informar, ao Comitê de Compliance e Controles Internos, as inconformidades identificadas; Tomar conhecimento dos Relatórios do Sistema de Controles Internos; Atuar na promoção de adequado Sistema de Controles Internos no Mercantil do Brasil Todos os colaboradores do Mercantil do Brasil Conhecer as diretrizes da Política Institucional do Sistema de Controles Internos; Conhecer as Diretrizes Estratégicas do Mercantil do Brasil, formalizadas e divulgadas nos meios de comunicação interna; Atuar proativamente, dentro do limite de atuação individual, zelando por elevados padrões de Controles Internos nos processos; Comunicar, pelos instrumentos e ferramentas formais do Sistema de Controles Internos, as vulnerabilidades percebidas nos processos executados ou supervisionados; Transmitir informações, inerentes às atividades realizadas, de forma compreensível, íntegra e tempestiva; Implementar os Planos de Ação propostos com o objetivo de desenvolvimento dos controles nos processos que apresentem vulnerabilidades Auditoria Externa Conhecer esta Política Institucional do Sistema de Controles Internos; Testar, por meio dos trabalhos de auditoria, a adequação dos Controles Internos na Instituição; Informar ao Mercantil do Brasil, tempestivamente, as vulnerabilidades identificadas durante os trabalhos de auditoria; Tomar conhecimento dos Relatórios do Sistema de Controles Internos. 5. GESTÃO DO SISTEMA DE CONTROLES INTERNOS A Gestão do Sistema de Controles Internos, por natureza, está intrinsecamente relacionada aos objetivos estratégicos do Mercantil do Brasil. Como parte integrante dos mecanismos de Governança Corporativa na Instituição, o Sistema de Controles Internos atuará identificando oportunidades e propondo a adoção consistente de atividades e procedimentos de controle que visem mitigar riscos que estejam fora do considerado aceitável por parte da Alta Administração. Buscando o engajamento e a participação dos colaboradores, a Gerência de Compliance trabalhará constantemente em sólido aculturamento das áreas, ponto chave para o sucesso da gestão compartilhada. Compõem os instrumentos de aculturamento do Sistema de Controles Internos: a presente Política Institucional e o Ato Normativo que a publica, o Guia de Boas Práticas de Controles Internos, a Cartilha Introdutória, e outras ações, realizadas de acordo com planejamento prévio. 10

12 O Sistema de Controles Internos é composto por várias barreiras de defesa ou linhas de defesa, visando minimizar o risco de erros e vulnerabilidades. A imagem abaixo representa as chamadas linhas de defesa do Mercantil do Brasil. Vale ressaltar que, apesar de trabalharem de forma complementar, o Sistema de Controles Internos e a Gestão dos Riscos possuem diferentes escopos de atuação. Enquanto a primeira atua especificamente no constante monitoramento e proposição de controles adequados, a segunda atua com foco na gestão da exposição aos correspondentes riscos gerenciados. Já a terceira linha de defesa atua avaliando como a primeira e a segunda linhas alcançam seus objetivos de gestão de riscos e controles. Por fim, órgãos externos e independentes de toda a estrutura organizacional formam uma linha adicional, avaliando as três linhas de defesa pertencentes ao Mercantil do Brasil. Assim, um Sistema de Controles Internos consistente com a natureza, complexidade e riscos da operação da Instituição favorece o processo de Governança Corporativa, permitindo uma tomada de decisão com base em informações mais seguras e fidedignas Metodologia aplicada A metodologia de gestão do Sistema de Controles Internos no Mercantil do Brasil está baseada, mas não se limita, no modelo de Estrutura Integrada de Controles Internos, proposto pelo COSO. Essa metodologia, amplamente utilizada, relaciona os componentes da estrutura de Controles Internos aos objetivos e níveis organizacionais Ambiente de Controle Por Ambiente de Controle entende-se o arranjo de normas, processos e estruturas que fundamenta o Sistema de Controles Internos por toda a Instituição, permeando todas as áreas e atividades executadas. Nele estão compreendidos a integridade e os valores éticos disseminados no Mercantil do Brasil; a definição de responsabilidades e a segregação de funções, formalmente estabelecidas e normatizadas em estrutura organizacional; as políticas internas para recrutamento, seleção, desenvolvimento e incentivo à permanência de profissionais adequados e capacitados à Instituição. Conforme o COSO, cinco princípios representam o Ambiente de Controle: 1. A organização demonstra ter comprometimento com a integridade e os valores éticos; 2. A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho dos controles internos; 3. A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos; 4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos; 5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controles internos na busca pelos objetivos. É de suma importância a implantação e formalização de políticas e procedimentos referentes à gestão de cada área do Mercantil do Brasil, os quais deverão, no mínimo, ser divulgados internamente à gerência. Tais políticas, consideradas imprescindíveis para o ambiente de controle da Instituição, devem conter tópicos específicos às seguintes atividades de controles internos, conforme referências técnicas, trabalhos de auditoria externa e interna, além das diretrizes presentes na Resolução nº 2.554/98 do Conselho Monetário Nacional e na Circular nº 3.467/09 do Banco Central do Brasil: 11

13 Definições sobre segregação das atividades atribuídas aos integrantes da área, de forma que sejam evitados, monitorados e minimizados o conflito de interesses e o acúmulo de funções incompatíveis. Estabelecendo separação entre as funções de aprovação, execução e controle de operações e, por consequência, fazendo com que a autoridade sobre uma parcela significativa de qualquer transação seja distribuída, este tipo de política diminui a possibilidade de dissimulação de erros ou irregularidades e visa à redução de riscos, falhas ou apropriações indébitas, bem como fraudes e desfalques; Definições a respeito de autorizações e aprovações específicas e gerais, inclusive as referentes a alçadas e limites, visando assegurar a conformidade da atividade com as políticas e procedimentos estabelecidos, além de reduzir o risco de erros e fraudes Avaliação e Gerenciamento de Riscos Por Avaliação e Gerenciamento de Riscos, entende-se o processo dinâmico e interativo de identificar e avaliar eventos que afetem negativamente a busca pelos objetivos estratégicos do Mercantil do Brasil, além de tomar decisões e realizar ações que visem mitigar os riscos até o apetite tolerado pela Instituição. Dessa forma, o Sistema de Controles Internos deve estar bastante alinhado à gestão de riscos, formando uma estrutura sólida para garantir maior eficácia dos processos e operações realizados no Mercantil do Brasil. Com base no apetite ao risco da Instituição, as áreas gestoras de riscos se estruturam e atuam monitorando as exposições e eventos que possam impactar negativamente os negócios do Mercantil do Brasil. Ambos os ambientes, interno e externo, também são contínua e minuciosamente acompanhados, em busca de mudanças que possam tornar algum controle ineficaz. Conforme o COSO, quatro princípios retratam o componente de Avaliação e Gerenciamento de Riscos: 1. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos; 2. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados; 3. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos; 4. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o Sistema de Controles Internos Atividades de Controle Atividades de Controle são as ações que visam mitigar os riscos avaliados na Instituição. Convém que estejam formalizados e disponíveis a pelo menos toda a equipe. Essas atividades são realizadas em todos os níveis do Mercantil do Brasil (operacionais, gerenciais e estratégicos), sendo muitos deles intrínsecos aos próprios processos executados. Podem prevenir ou detectar riscos e ser manuais ou automáticos. Conforme o COSO, três princípios denotam as Atividades de Controle: 1. A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos; 2. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos; 3. A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas. 12

14 A fim de incentivar a adoção de controles adequados às operações e processos realizados no Mercantil do Brasil, a Coordenação de Compliance e Controles Internos elaborou o Guia de Boas Práticas de Controles Internos, contendo detalhes e exemplos práticos de uma seleção de controles fundamentais, os quais podem ser executadas por todos os níveis da organização e, em especial, pelas gerências Informação e Comunicação O acesso a informações confiáveis, íntegras e tempestivas é vital para que o Sistema de Controles Internos seja adequado e eficaz nos seus objetivos. Para isso, o fluxo das comunicações deve permitir que informações fluam em todas as direções, e que os direcionamentos estratégicos vindos da Alta Administração alcancem todo o Mercantil do Brasil. Além disso, o Sistema de Controles Internos também deve abranger as informações externas relevantes aos processos de negócios. Essas devem ser capturadas efetivamente e compartilhadas internamente. A comunicação em direção ao mercado também é objeto de controle, reduzindo riscos de respostas inadequadas a requisições ou aquém de expectativas. Conforme o COSO, três princípios representam o componente de Informação e Comunicação: 1. A organização obtém/gera e utiliza informações significativas e de qualidade para apoiar o funcionamento dos controles internos; 2. A organização transmite internamente as informações necessárias para apoiar o funcionamento dos controles internos, inclusive os objetivos e responsabilidades pelo controle; 3. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento dos controles internos Monitoramento e Aperfeiçoamento O monitoramento de toda a estrutura de Controles Internos permite que o Mercantil do Brasil se certifique da existência e da adequação dessa estrutura aos seus objetivos e a complexidade e natureza das suas operações. Com base nesse monitoramento, são elaborados os Relatórios do Sistema de Controles Internos, avaliados pela alta administração e também por órgãos supervisores. Caso sejam percebidas vulnerabilidades no sistema, recomendações são feitas para um aperfeiçoamento da gestão no Mercantil do Brasil, buscando-se, sempre, o apoio da alta administração para aquilo que é mais crítico à Instituição. Conforme o COSO, dois princípios representam o Monitoramento e Aperfeiçoamento: 1. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes de controles internos; 2. A organização avalia deficiências nos controles internos e as comunica, em tempo hábil, aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável Ferramentas utilizadas Para garantir um Sistema de Controles Internos adequado ao Mercantil do Brasil e eficaz quanto aos seus objetivos, a Coordenação de Compliance e Controles Internos, subordinada à Gerência de Compliance, utiliza diversas ferramentas para realizar essa gestão. 13

15 Questionário CSA A Autoavaliação de Controles Internos é um processo pelo qual os controles internos são avaliados quanto à eficácia em prover um nível adequado de segurança no alcance dos objetivos estratégicos da organização. Assim, são verificados aspectos relativos a controles, riscos envolvidos e aderência às normas, no intuito de manter uma constante avaliação de sua eficácia. No Mercantil do Brasil, o Questionário CSA é a ferramenta que permite, por parte das áreas gestoras dos processos e operações, realizar a autoavaliação de diversos aspectos relativos aos riscos e aos controles internos inerentes às atividades desempenhadas. Por meio de questões chave, é possível levantar informações que permitirão a avaliação e revisão dos objetivos estratégicos da organização, dos riscos envolvidos na busca por atingir esses objetivos e dos controles internos projetados para administrar esses riscos, permitindo, às áreas avaliadas e ao Sistema de Controles Internos, avaliar a eficácia dos controles internos, adotar medidas para a solução das questões apontadas e delinear novas estratégias para assegurar o alcance dos objetivos institucionais. Os questionários são de extrema importância para a gestão do Sistema de Controles Internos. São destacadas as seguintes finalidades: Análise dos processos pelos envolvidos, identificando riscos potenciais e avaliando as medidas de controle e mitigação, permitindo maior reflexão e autoconhecimento por parte dos gestores; Difusão da cultura de controles internos nas diversas unidades executoras de processos de negócios e operações; Geração de informações para definição e acompanhamento de ações para eficiência dos controles; Monitoramento de ações de melhoria sobre a exposição aos riscos. Disponibilizados anualmente, os questionários devem ter as respostas baseadas nos fatos observados entre janeiro e dezembro do ano anterior, fornecendo informações sobre eventos que dificultaram o Mercantil do Brasil a alcançar seus objetivos estratégicos, conforme as perspectivas indicadas nas Diretrizes Estratégicas da Instituição. Todas as unidades organizacionais estão abrangidas neste processo, por isso, os questionários são enviados a todos os gerentes das áreas corporativas e agências do Mercantil do Brasil. A responsabilidade pelas respostas fornecidas é do gestor responsável pela unidade organizacional a que o questionário está vinculado, porém, o responsável deve compartilhar com os colaboradores de sua equipe tais questionamentos, com vistas ao aculturamento e ao enriquecimento da avaliação dos riscos e controles inerentes às atividades do departamento Relatórios de áreas afins Os relatórios provenientes dos apontamentos realizados pelas Auditorias Independente e Interna (após follow-up com as áreas), e aqueles provenientes de órgãos supervisores, assim como o disponibilizado pela área de Gerenciamento de Risco Operacional, são enviados à Coordenação de Compliance e Controles Internos que, após avaliação, poderá utilizar-se das informações reportadas, com o objetivo de reforçar as necessidades de aperfeiçoamento e/ou desenvolvimento de controles internos do Mercantil do Brasil. Os apontamentos extraídos destes relatórios poderão ser acompanhados pela Coordenação de Compliance e Controles Internos no escopo de sua gestão, utilizando as ferramentas disponíveis. 14

16 Recomendações Para que as áreas avaliadas possam melhorar seus controles internos e mitigar riscos constatados por meio do Questionário CSA e dos relatórios das áreas afins, a Coordenação de Compliance e Controles Internos registrará Recomendações. Esta atividade consiste em informar à área gestora sobre a vulnerabilidade constatada e propor a adoção de atividades de controles, a fim de reduzir a exposição ao risco identificado como fora do apetite a riscos do Mercantil do Brasil. As Recomendações são apresentadas e discutidas junto ao responsável pela implementação da atividade de controle proposta, que deve se manifestar a respeito, acatando ou contestando a recomendação. Caso discorde, ou possua argumentos que justifiquem a não adoção dos controles recomendados, o gestor deve fornecer as informações necessárias à Coordenação de Compliance e Controles Internos, que avaliará esses argumentos. Caso necessário, a situação será encaminhada para deliberação do Comitê de Compliance e Controles Internos, que poderá ratificar a aceitação do risco ou manter a recomendação de adoção de controles. Para uma gestão mais eficiente, são focadas vulnerabilidades e sugestões de melhoria relacionadas a produtos, serviços e/ou processos críticos, ou seja, estratégicos à Instituição, conforme diretrizes da Alta Administração. Para tanto, deve haver o entendimento do Mapa Estratégico do Mercantil do Brasil, além de se considerar as seguintes premissas: Princípio de custo-benefício; Relação risco x retorno; Princípio de Pareto (80% das consequências advêm de 20% das causas) Planos de Ação Uma vez que a Recomendação tenha sido acatada, o gestor do processo deve elaborar um Plano de Ação, contendo as ações, o cronograma e as responsabilidades para a implantação das atividades de controle recomendadas. Para isso, os gestores poderão se basear na ferramenta de gestão conhecida como 5W2H, que funciona como um mapeamento das atividades que serão realizadas, visando à eliminação de eventuais dúvidas relacionadas às ações definidas para o plano de ação. Vale ressaltar que as ações propostas devem ser exequíveis, considerando o princípio de custobenefício e a sua efetiva contribuição para adequação dos controles internos e mitigação dos riscos. A Coordenação de Compliance e Controles Internos, no uso de suas atribuições, poderá aprovar o plano de ação ou solicitar ajustes. Se aprovado, será realizado o acompanhamento das atividades, atentando aos prazos para implementação e à execução das ações propostas. A fim de garantir a integridade, a confiabilidade e a tempestividade das informações prestadas, a Coordenação procederá de duas formas na atualização dos Planos de Ação: de forma ordinária, no início de cada semestre, com o objetivo de obter as informações mais atuais para os relatórios produzidos; e eventualmente, sempre que o prazo informado estiver vencido, a fim de confirmar a conclusão do plano. Para que os objetivos sejam alcançados, o compromisso de cada gestor e das áreas que compõem o Sistema de Controles Internos é de extrema importância, refletindo uma gestão compartilhada comprometida com um ambiente de controle saudável e maior eficácia no atingimento dos objetivos estratégicos do Mercantil do Brasil. 15

17 Relatórios do Sistema de Controles Internos Em atendimento ao disposto no Art. 3º da Resolução CMN nº 2.554/98 e normas relacionadas, é elaborado, anualmente, o Relatório do Sistema de Controles Internos do Mercantil do Brasil, contemplando aspectos da avaliação da qualidade e adequação dos controles internos da Instituição. Em complemento, é elaborado um relatório semestral, atualizando-se apenas as informações referentes à Mercantil do Brasil Corretora, em atendimento à Instrução CVM nº 505/11. A partir das informações obtidas por meio das ferramentas descritas nos tópicos anteriores, estes relatórios devem conter, obrigatoriamente: (I) as conclusões dos exames efetuados; (II) as recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento das mesmas, quando for o caso; e (III) a manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las Comitê de Compliance e Controles Internos No Comitê de Compliance e Controles Internos são analisados, pelas áreas integrantes do comitê, os processos corporativos relevantes para cumprimento dos objetivos estratégicos do Mercantil do Brasil. Os processos serão acompanhados junto às áreas responsáveis para regularização e discutidos conforme pauta da reunião do Comitê. Os pontos acompanhados pelo Comitê de Compliance e Controles Internos serão atualizados bimestralmente, com o intuito de apresentar informações tempestivas e atualizadas nas reuniões ordinárias bimestrais Planos de Ação Bacen Rating Em resposta aos pontos negativos apresentados pelo Banco Central do Brasil, quando dos trabalhos de avaliação do Rating da Instituição, a Coordenação de Compliance e Controles Internos acompanhará os Planos de Ação informados pelos gestores responsáveis. Os planos são acompanhados e atualizados periodicamente conforme os prazos informados pelos gestores responsáveis, visando a consolidação das informações obtidas para controle e acompanhamento da Alta Administração, bem como o encaminhamento ao Órgão Supervisor, quando solicitado ao Mercantil do Brasil Documentação e armazenamento dos dados A documentação das informações sobre a Gestão do Sistema de Controles Internos no Mercantil do Brasil, tanto para os assuntos referentes aos conceitos, à metodologia, ao tratamento das vulnerabilidades, quanto àqueles relacionados ao sistema tecnológico adotado para a implementação do Sistema de Controles Internos encontram-se à disposição para eventuais consultas internas, solicitações do Órgão Supervisor, e das Auditorias Interna e Externa, sendo revisados de acordo com as necessidades de correções ou melhorias detectadas. Toda a documentação permanecerá armazenada pelo prazo de 5 (cinco) anos. 16

18 6. PERIODICIDADE DE ATUALIZAÇÃO A revisão das diretrizes e dos procedimentos estabelecidos nesta Política tem periodicidade mínima anual, com possibilidade de alterações quando houver necessidade. O presente documento entra em vigor a partir de sua aprovação, ficando à disposição dos órgãos de fiscalização e supervisão. 7. CONSIDERAÇÕES FINAIS As diretrizes do Sistema de Controles Internos do Mercantil do Brasil, formalizadas pela aprovação desta Política Institucional e praticadas com a adoção de procedimentos e metodologias específicas, visam proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade. A Estrutura do Sistema de Controles Internos acompanha a variação dos diversos cenários de exposição a riscos a que o Mercantil do Brasil está sujeito, refletindo o ambiente de negócios, o comportamento da concorrência e os compromissos com os resultados que a Instituição tem para com clientes, acionistas, funcionários e a sociedade. Por isso, é imprescindível que o Sistema de Controles Internos seja continuamente aprimorado e integrado ao planejamento estratégico do Mercantil do Brasil. 17