Versão 3 Data rev: 22112016 Este documento é propriedade do, para uso exclusivo de seus Acionistas, Diretores e Colaboradores. Sua divulgação só é permitida internamente. Este documento, ou qualquer parte dele, não pode ser reproduzido, armazenado ou transmitido, em qualquer formato ou por quaisquer meios, sejam eletrônicos ou mecânicos, em fotocópias ou gravados, sem a prévia autorização expressa do. 1 / 8 Presidência
Versão 3 Data rev: 22112016 Sumário 1. Política de Gerenciamento de Riscos Operacionais... 3 1.1. OBJETIVO... 3 1.2. ABRANGÊNCIA... 3 1.3. RESPONSABILIDADES... 3 1.4. CLASSIFICAÇÃO DE RISCOS OPERACIONAIS... 4 1.5. PERIODICIDADE/PRAZOS... 5 1.6. DIRETOR RESPONSÁVEL... 6 1.7. ESTRUTURA DO GERENCIAMENTO DE RISCO OPERACIONAL... 6 1.8. CONTROLES ASSOCIADOS... 8 2 / 8 Presidência
Versão 3 Data rev: 22112016 1. Política de Gerenciamento de Riscos Operacionais 1.1. OBJETIVO A presente norma visa a estabelecer as definições, conceitos e procedimentos a serem implementados nas empresas do que sejam instituições financeiras ou autorizadas a funcionar pelo Banco Central do Brasil, garantindo aderência às determinações desta autarquia para com o Gerenciamento de Riscos Operacionais. 1.2. ABRANGÊNCIA Esta norma se aplica ao. 1.3. RESPONSABILIDADES Os responsáveis pelas atribuições abaixo mencionadas compõem o Sistema de Gerenciamento de Riscos Operacionais, que devem zelar pela identificação, avaliação, monitoramento e mitigação destes: Diretores/Gestores: Aprovar e fazer cumprir políticas de Gerenciamento de Riscos Operacionais que sejam consistentes com a estratégia de negócios da instituição; comunicar ao sempre que tomar conhecimento de algum fato relevante que esteja relacionado ao Risco Operacional. : Assegurar que as estruturas de Gerenciamento de Riscos Operacionais de cada área do Grupo estejam devidamente implementadas e apropriadas às suas atividades. Revisar tais estruturas periodicamente, a fim de mantê-la sempre atualizadas com as novas condições de mercado e novas estratégias adotadas. Também cabe ao, disseminar na instituição, a cultura de controle dos Riscos Operacionais, mapear todos os processos e identificar os seus riscos e mitigadores, cujos resultados serão discutidos com os gestores responsáveis, com o apoio do sistema Ibasel. 3 / 8 Presidência
Versão 3 Data rev: 22112016 Elaborar o relatório de base de perdas operacionais, com auxilio das áreas Contábil, Risco e Jurídico para a ciência da alta administração e mitigação de novas ocorrências. Auditoria Interna: Realizar, com periodicidade mínima anual ou sempre que houver necessidade, testes de avaliação dos sistemas de controle de riscos operacionais. Tecnologia de Informação: Assegurar que os sistemas disponíveis estejam de acordo com o escopo e o tamanho dos negócios realizados, visando evitar falhas nos sistemas e base dados. Caso hajam falhas de desastre a mesma deve estar preparada para a recuperação das informações e o acionamento do plano de desastre e recuperação. Importante, dispensar atenção em especial dos controles sistêmicos/informações disponibilizadas aos prestadores de serviço. Jurídico: Assegurar que os contratos e as obrigações legais das empresas sejam devidamente cumpridos, com o objetivo de se reduzir o risco legal. Contabilidade: Controlar e contabilizar os lançamentos de Risco Operacional em suas respectivas contas, de acordo com a classificação de cada evento de perda. 1.4. CLASSIFICAÇÃO DE RISCOS OPERACIONAIS Conforme descrito na Resolução 3.380/06 do CMN, define-se como risco operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. 4 / 8 Presidência
Versão 3 Data rev: 22112016 Adequando-se à realidade das empresas do, os riscos operacionais foram agrupados da seguinte forma: I - fraudes internas: Atos direcionados a defraudar, apropriar-se de bens indevidamente, ou a burlar regulamentos, leis ou políticas empresariais (excluídos os eventos de discriminação), nas quais se encontra implicada pelo menos uma parte da empresa; II - fraudes externas: Perdas derivadas de algum tipo de atuação direcionada a defraudar, apropriarse de bens indevidamente, ou burlar a lei, por parte de um terceiro; III - demandas trabalhistas e segurança deficiente do local de trabalho: Perdas derivadas de atuações incompatíveis com a legislação ou acordos laborais, de higiene ou de segurança no trabalho, do pagamento de indenizações por danos pessoais ou eventos de discriminação; IV - práticas inadequadas relativas a clientes, produtos e serviços: Perdas derivadas do não cumprimento involuntário ou negligente de uma obrigação profissional diante de clientes concretos (incluídos os requisitos fiduciários e de adequação) ou da natureza ou projeto de um produto. V - danos a ativos físicos próprios ou em uso pela instituição: Perdas derivadas de danos ou prejuízos a ativos materiais como consequência de desastres naturais ou outros acontecimentos; VI - aqueles que acarretem a interrupção das atividades da instituição: Perdas derivadas das incidências nos negócios provenientes de falhas no sistema de informação. VII - falhas em sistemas de tecnologia da informação: Perdas decorrentes de sistemas mal parametrizados ou falhas. VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição: Perdas derivadas de erros no processamento de operações ou na Gestão de Processos, assim como de relações com parceiros comerciais e provedores. 1.5. PERIODICIDADE/PRAZOS Conforme exigências legais, o Departamento responsável pelo Gerenciamento dos Riscos Operacionais deve emitir, no mínimo, anualmente, relatório de reporte dos riscos identificados, sendo o mesmo levado ao conhecimento da Alta Administração. A presente política deve ser revisada e aprovada pela em periodicidade não maior do que anual. Neste mesmo período, o Sistema de Controle de Riscos Operacionais deve ser avaliado e a descrição da estrutura de Gerenciamento de Riscos Operacionais formalizada. 5 / 8 Presidência
Versão 3 Data rev: 22112016 Um breve resumo da estrutura de gerenciamento destes riscos deve ser publicado juntamente com as demonstrações financeiras, e nesta, deve ser indicada onde podem ser obtidas as informações referentes aos riscos identificados, avaliado, monitorados e mitigados. 1.6. DIRETOR RESPONSÁVEL De acordo com a Resolução 3.380/06 do CMN, todas as instituições financeiras devem indicar no UNICAD, um Diretor responsável pelo cumprimento da mesma. Para fins da responsabilidade, é admitido que o diretor indicado desempenhe outras funções na instituição, exceto as relativas à administração de recursos de terceiros. 1.7. ESTRUTURA DO GERENCIAMENTO DE RISCO OPERACIONAL Conforme mencionado anteriormente, o Departamento de Riscos Operacionais é integrante do, cuja subordinação se dá à Presidência do Grupo do Máxima, cuja estrutura prevê aos itens requeridos pela Resolução Nº 3.380 de 29 de junho de 2006 do Conselho Monetário Nacional. Devido à estrutura enxuta das empresas do, o centralizou as atividades iniciais de Gestão de Riscos Operacionais. O Gerenciamento dos Riscos ocorre nas seguintes etapas: Mapeamento de Processos: reunião com os Gestores responsáveis das diversas áreas do, para o mapeamento de todos os processos e subprocessos; Identificação dos Riscos: após o mapeamento dos processos, os Gestores das áreas indicarão quais os principais riscos inerentes às atividades executadas e os seus mitigadores; Inventário de Risco: tarefa executada periodicamente a qual permite que os Gestores do sistema associem riscos a cada um dos subprocessos, atividades e sistemas envolvidos; Testes (avaliação dos controles): são realizados pela Auditoria Interna. Planos de Ação: em função da não conformidade nos testes dos controles, em que estes se mostrem insuficientes ou deficientes, é elaborado um Plano de Ação, discutido com os Gestores, visando a correção da falha e consequente mitigação do risco, entretanto a de se considerar a exposição ao risco que a instituição quer assumir. 6 / 8 Presidência
Versão 3 Data rev: 22112016 Relatórios: emissão de relatórios gerenciais e gráficos, quando necessário, possibilitando uma visão geral da exposição da Instituição aos riscos. Tais etapas são geridas através do sistema ibasel da SiaCorp, que trabalha por Workflow (fluxo de trabalho), onde os mapeamentos de processos e riscos são elaborados pelo Departamento de Compliance, após a validação de todos os Gestores envolvidos. O Sistema ibasel conta com recursos que possibilitam a consulta e edição de Processos, Subprocessos, Atividades e Sistemas de forma descentralizada, pelo. Permite ainda cadastramento de Processos. São campos de um processo: Nome do Processo. Referência do Processo: Código do Processo (Somente Leitura). Grupo: Combo que lista os grupos cadastrados no sistema. Tipo Inventário: Campo para informação do Tipo de inventário (Riscos ou Sistemas). Descrição do Processo: Descrição detalhada do Processo. Risco do Processo: Descrição do Risco do Processo Associar Produto: Campo utilizado para Associação de Produtos. O botão Associar permite incluir novos produtos. Para excluir o produto, deve-se clicar em Excluir na tabela de Produtos. Aspectos Regulatórios: Campo utilizado para inserção de Aspectos Regulatórios. O botão Inserir permite associar leis ao Processo. Possui um link para uma página Web que exibe o código da lei, por exemplo. Políticas e Procedimentos: Campo utilizado para inserção de Políticas e Procedimentos. O botão Inserir permite associar políticas e procedimentos ao Processo. Possui um link para uma página Web. Autorizados a Visualizar: Campo permite visualizar e inserir pessoas autorizadas a visualizar o Processo. O botão Inserir permite incluir novos Usuários. O botão excluir retira o acesso do Usuário ao Processo. 7 / 8 Presidência
Versão 3 Data rev: 22112016 O Sistema ibasel conta com diversos tipos de relatórios, pré-formatados e dinâmicos. Apresentamos a seguir os relatórios que são gerados pelo Sistema. Os relatórios gerados pelo Sistema estão divididos nos seguintes grupos. Processos Riscos Controles Planos de Ação Conformidade Sistemas, Grupos e Usuários Consolidados Gestores de Processos O Sistema ibasel conta com um Manual específico para o auxílio na utilização desta ferramenta, bem como consultas de todas as suas funcionalidades. No caso de novos produtos ou serviços e/ou renovações, é obrigatório o encaminhamento dos mesmos as áreas competentes, dentre elas à área de Compliance- PLD/CFT para análise prévia sob a ótica de prevenção à lavagem de dinheiro e combate ao financiamento ao terrorismo, cujo resultado das análises (aprovação ou reprovação do novo produto ou serviço) deve ser lavrado em Ata, conforme decisão do Comitê. 1.8. CONTROLES ASSOCIADOS Desta forma, o Compliance destaca outros normativos e mecanismos de controles cruciais para a condução das responsabilidades acima descritas e para a mitigação de eventuais riscos que possam, de alguma forma, estar associados ao processo de risco Operacional: - Politica Socioambiental; - Política de Prevenção à Lavagem de Dinheiro e Combate ao Financiamento ao Terrorismo; - Política de Anticorrupção, Código de Conduta e Canal de Denúncias externo; - Política de Conheça o seu Cliente KYC; - Manual de Procedimentos para Contratação de Parceiro. 8 / 8 Presidência