Política de Gestão de Riscos Operacionais 14 de fevereiro 2017 Define os objetivos, as responsabilidades e as diretrizes que orientam a Gestão de Riscos Operacionais na Cetip S.A. Versão da Política: 1ª Data de criação: 14/02/2017 Próxima atualização: Área Responsável: Público Alvo: Periodicidade de revisão: Aprovada por: 14/02/2019 Diretoria de Compliance, Controles Internos e Risco Operacional Todos os Colaboradores da Cetip S.A. Mercados Organizados. A cada 2 anos Conselho de Administração da Cetip
SUMÁRIO 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 REGRAS E DIRETRIZES NORTEADORES DAS ATIVIDADES... 3 3.1 Conceito... 3 3.2 Metodologia... 3 3.3 Gerenciamento de riscos operacionais... 3 3.3.1 Identificação de riscos operacionais... 4 3.3.2 Avaliação de riscos operacionais... 5 3.3.3 Mitigação de riscos operacionais... 5 3.3.4 Monitoramento de riscos operacionais... 5 3.3.5 Reporte de riscos operacionais... 5 3.4 Estrutura de gestão de riscos operacionais... 6 4 RESPONSABILIDADES... 7 4.1 Conselho de Administração... 7 4.2 Comitê Estatutário de Risco... 7 4.3 Comitê Corporativo de Risco... 7 4.4 Diretor Presidente... 8 4.5 Diretores Executivos... 8 4.6 Diretoria de Compliance, Controles Internos e Risco Operacional... 8 4.7 Gestores... 9 4.8 Colaboradores... 9 5 SANÇÕES... 10 6 DOCUMENTOS RELACIONADOS... 10 7 GLOSSÁRIO... 10 Informação pública Página 2
1 OBJETIVO Esta política tem por objetivo estabelecer os papéis, as responsabilidades, as regras e as diretrizes que regem o processo de Gerenciamento de Riscos Operacionais, de forma a garantir a identificação, avaliação, mitigação, monitoramento e reporte dos riscos operacionais associados aos processos da Cetip. 2 PÚBLICO ALVO Esta Política é aplicável a todos Colaboradores da Cetip, considerada a definição do item 7, abaixo. 3 REGRAS E DIRETRIZES NORTEADORES DAS ATIVIDADES 3.1 Conceito O risco operacional é definido como a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos, incluindo ainda o risco legal, associado à inadequação ou deficiência em contratos firmados pela Cetip, bem como as sanções em razão de descumprimento de dispositivos legais e a indenização por danos a terceiros decorrentes das atividades desenvolvidas pela Cetip. 3.2 Metodologia A área de Controles Internos e Risco Operacional utiliza metodologia própria baseada nas melhores práticas de mercado, aprovada pelo Comitê Estatutário de Risco. 3.3 Gerenciamento de riscos operacionais A gestão de riscos operacionais da Cetip, considera as cinco etapas descritas a seguir: Informação pública Página 3
1. Identificação 2. Avaliação 3. Mitigação 4. Monitoramento 5. Reporte Apoiar as áreas de negócios na identificação dos riscos e controles. Medir e avaliar o nível de exposição para cada risco identificado. Apoiar as áreas na definição da resposta ao risco de forma a manter a exposição ao risco em patamares aceitáveis. Monitorar os riscos, considerando o acompanhamento de planos de ação, exposição ao risco (ocorrências) e/ou avaliações periódicas do ambiente de controles. Reportar nos comitês de riscos questões relacionadas ao ambiente de riscos operacionais e controles internos. O processo de gestão de riscos da Cetip foi desenvolvido considerando os seguintes elementos: Produtos e serviços oferecidos. Complexidade do mercado em que atua. Órgãos reguladores com os quais se relaciona. Características dos participantes, clientes e parceiros. Melhores práticas do mercado, local e internacional, na gestão de riscos operacionais. Estrutura de controles internos efetiva e compatível com as suas atividades, seus sistemas de informações e a regulamentação aplicável. 3.3.1 Identificação de riscos operacionais O objetivo desta etapa consiste na identificação dos riscos operacionais que, se ocorrerem, poderão afetar a organização, representando oportunidades de melhorias ou efeitos adversos na capacidade de implementar adequadamente a estratégia e alcançar os objetivos da Cetip. As atividades envolvidas nessa etapa são: Entendimento dos processos. Identificação dos riscos operacionais e fatores de riscos associados aos processos. Identificação dos controles associados aos riscos. Vale ressaltar que a área de Controles Internos e Risco Operacional, em conjunto com as áreas responsáveis, identifica os riscos inerentes relacionados aos produtos, serviços, processos e sistemas. Informação pública Página 4
3.3.2 Avaliação de riscos operacionais Na etapa de Avaliação é realizada a mensuração e avaliação do nível de exposição dos riscos operacionais, considerando a classificação do impacto e da vulnerabilidade do ambiente de controles. Para tanto, são realizadas as seguintes atividades: Realização de auto avaliação de riscos. Realização do walkthrough dos processos e controles. Realização de testes dos controles. 3.3.3 Mitigação de riscos operacionais Após a avaliação do risco operacional, a resposta ao risco é definida pela área responsável, conforme o apetite ao risco da Cetip e respeitando-se as alçadas para assunção e escalonamento de exposições a risco. A área de Controles Internos e Risco Operacional é responsável por auxiliar as áreas de negócio na definição da resposta ao risco e na definição de planos de ação e/ou indicadores de riscos, quando aplicável. Vale ressaltar que os riscos podem ser evitados, reduzidos, compartilhados ou aceitos. 3.3.4 Monitoramento de riscos operacionais Esta etapa consiste em supervisionar e monitorar o processo de gestão de riscos operacionais, considerando: Atividades contínuas de monitoramento: acompanhamento de implantação dos planos de ação, gestão de indicadores de riscos e gestão de ocorrências de riscos. Avaliações periódicas: variam em termos de escopo e frequência, dependendo da exposição dos riscos, mudanças importantes na estratégia ou na administração, aquisições ou distribuições de recursos, mudanças nas condições econômicas ou políticas ou, ainda, mudanças nas operações ou métodos de processamento de informações. Quanto maior a classificação do risco, maior será a frequência de sua avaliação. 3.3.5 Reporte de riscos operacionais A área de Controles Internos e Risco Operacional é responsável por coordenar a comunicação de assuntos relacionados a gestão de riscos operacionais, por meio de relatórios periódicos e apresentações nos comitês de riscos e no Comitê de Auditoria, quando solicitado. Informação pública Página 5
3.4 Estrutura de gestão de riscos operacionais A estrutura desenvolvida para gerenciamento dos riscos operacionais na Cetip está alinhada à regulamentação aplicável, às melhores práticas do COSO e às recomendações do BIS Bank for International Settlement. A estrutura definida assegura a contínua adequação do gerenciamento dos riscos operacionais à natureza e complexidade dos produtos, serviços, atividades, processos e sistemas da Cetip. O sistema de gestão de riscos operacionais da Cetip está estruturado em quatro linhas de defesa, segregados da seguinte forma: 1ª linha de defesa: composta pelas áreas de negócios da Cetip, sendo responsável pelo gerenciamento e supervisão dos riscos operacionais inerentes aos seus produtos, serviços, processos e sistemas. Responsável também por implementar ações corretivas para endereçar deficiências nos processos com objetivo de mitigar os riscos. 2º linha de defesa: formada pelas áreas de Compliance, Controles Internos e Segurança da Informação, sendo responsável por auxiliar a 1ª linha de defesa no desenvolvimento, gestão e implementação de práticas eficazes de gestão de riscos operacionais. 3º linha de defesa: representada pela Auditoria Interna, sendo responsável por revisar/avaliar de modo independente as atividades da 1ª e 2ª linhas de defesa e contribuir para o seu aprimoramento. 4 linha de defesa: representada pela Auditoria Externa e Órgãos Reguladores. Avaliam a qualidade e adequação do sistema de gestão de riscos operacionais, reportando ainda descumprimentos de dispositivos legais e regulamentares, que tenham, ou possam vir a ter reflexos relevantes nas demonstrações contábeis ou nas operações da Cetip. Informação pública Página 6
4 RESPONSABILIDADES 4.1 Conselho de Administração Aprovar esta Política; aprovar estratégias e diretrizes para a administração dos riscos da Companhia em suas diversas modalidades; e acompanhar o nível de risco da Companhia em suas diversas modalidades. 4.2 Comitê Estatutário de Risco Assessorar o Conselho de Administração em questões relativas à gestão integrada de riscos, tendo como objetivos principais a avaliação e o monitoramento do gerenciamento integrado dos riscos da Companhia de forma a assegurar a boa gestão dos recursos, a proteção e valorização do seu patrimônio, cabendo-lhe as seguintes atribuições: avaliar e sugerir periodicamente ao Conselho de Administração estratégias e diretrizes para a administração dos riscos da Companhia em suas diversas modalidades e, quando necessário, propor limites específicos; acompanhar e avaliar os riscos inerentes às atividades da Companhia em suas diversas modalidades, com enfoque estratégico e estrutural; caso aplicável, submeter periodicamente ao Conselho de Administração, no que se refere especificamente a risco de Contraparte Central, relatório contendo informações agregadas sobre a exposição aos fatores de risco, a qualidade das garantias depositadas, e os resultados de testes de estresse do caixa; submeter ao Conselho de Administração, no que se refere especificamente a risco Corporativo, relatório anual sobre os resultados do monitoramento dos riscos inerentes às atividades da Companhia e que possam afetar o atendimento aos seus objetivos; acompanhar e analisar a liquidez, o fluxo de caixa, a política de endividamento e a estrutura de capital da Companhia, bem como os fatores de risco a que a Companhia está exposta; aprovar as políticas de gestão de riscos submetidas pelo Comitê Corporativo de Risco e submetê-las à aprovação do Conselho de Administração. 4.3 Comitê Corporativo de Risco Assessorar o Comitê Estatutário de Risco em questões relativas à gestão integrada de riscos, tendo como objetivos principais a avaliação e o monitoramento do gerenciamento integrado dos riscos da Companhia de forma a assegurar a boa gestão dos recursos, a proteção e valorização do seu patrimônio. Compete ao Comitê, dentre outras matérias: Informação pública Página 7
acompanhar o nível de risco da Companhia em suas diversas modalidades: crédito, mercado, liquidez, financeiro, operacional, regulatório, tecnológico, segurança cibernética, imagem, reputacional e estratégico; acompanhar e analisar a liquidez, o fluxo de caixa, a política de endividamento e a estrutura de capital da Companhia, bem como os fatores de risco a que a Companhia está exposta; caso aplicável, no que se refere especificamente a Risco de Contraparte Central, submeter periodicamente ao Comitê Estatutário de Risco relatório contendo informações agregadas sobre a exposição aos fatores de risco, a qualidade das garantias depositadas, e os resultados de testes de estresse do caixa; analisar as condições macroeconômicas e políticas, bem como suas implicações nos mercados de atuação da Cetip; avaliar os processos de supervisão, monitoramento e gerenciamento de riscos da Companhia, podendo manifestar-se a respeito; monitorar e garantir que a exposição aos riscos estejam em linha com os limites máximos definidos pelo Comitê Estatutário de Risco; opinar sobre ações para aperfeiçoamento da cultura de gerenciamento de risco da Companhia; e reportar as suas atividades ao Comitê Estatutário de Risco. 4.4 Diretor Presidente Acompanhar os resultados das atividades de gestão dos riscos da Companhia. Assegurar à área de Controles Internos e Risco Operacional que não haja limitações para a execução de suas responsabilidades quanto a gestão de riscos operacionais. 4.5 Diretores Executivos Implantar a estrutura para gerenciamento dos riscos operacionais, aprovada pelo Conselho de Administração, incluindo a política, a metodologia e a forma de atuação. Promover uma cultura de controles nas atividades regulares da Cetip, que demonstre e enfatize a todos os colaboradores a importância dos controles internos e o papel de cada um no processo. 4.6 Diretoria de Compliance, Controles Internos e Risco Operacional Elaborar, divulgar e revisar periodicamente políticas e procedimentos sobre o gerenciamento de riscos operacionais. Propor metodologia para avaliação e acompanhamento dos riscos. Consolidar os riscos e ações mitigantes. Informação pública Página 8
Comunicar/reportar os resultados da avaliação de riscos e informações relacionadas a gestão de riscos à Alta Administração. Conduzir processos de identificação e avaliação dos riscos junto às áreas de negócio. Coordenar as melhorias (planos de ação) de processos necessárias para mitigar os riscos. Documentar e avaliar o desenho dos processos de negócio quanto a exposição aos riscos. Disseminar a cultura de gestão de riscos operacionais, promovendo a conscientização e enfatizando o comprometimento e engajamento dos colaboradores na implantação do processo de gestão de riscos. Atuar em conjunto com outras áreas que, dentre suas atribuições, também possuem atividades de segunda linha de defesa, tais como: prevenção e combate a fraudes, monitoramento, jurídico consultivo, dentre outras. 4.7 Gestores Conscientizar-se dos riscos operacionais inerentes à sua área, avaliando-os quanto à vulnerabilidade e aos possíveis impactos, tanto nas atividades de sua responsabilidade quanto das outras áreas. Disseminar a cultura de gestão de riscos operacionais na sua área, promovendo a conscientização dos colaboradores e buscando o comprometimento e engajamento na implantação do Programa de Gestão de Riscos Operacionais. Acompanhar as alterações do ambiente regulatório e assegurar pronta adequação dos processos de sua área para o cumprimento das novas exigências. Promover o cumprimento da política e procedimentos de gestão dos riscos operacionais na sua área. Assegurar a implantação de controles internos adequados às atividades sob sua gestão. Reportar imediatamente a identificação de qualquer risco, fato relevante, deficiência ou não conformidade ao Diretor Executivo e à área de Controles Internos e Risco Operacional. Participar do processo de gestão de riscos operacionais, assim como permitir a participações de sua equipe quando necessária. 4.8 Colaboradores Conscientizar-se do seu papel na gestão de riscos operacionais de sua área. Reportar imediatamente a identificação de qualquer risco, fato relevante, deficiência ou não conformidade ao seu gestor. Informação pública Página 9
Participar, quando possível ou quando indicado por seu gestor, das atividades de gerenciamento de riscos operacionais de sua área, fornecendo conhecimento e documentos pertinentes quando solicitados. 5 SANÇÕES A violação a qualquer termo ou condição desta Política, sujeitará o(a) infrator(a) a medidas corretivas previstas na legislação aplicável, incluindo a possibilidade de suspensão não remunerada e até mesmo a rescisão do contrato de trabalho, sem prejuízo de eventual(ais) medida(s) cabível(eis) na(s) esfera(s) administrativa e/ou cível e/ou criminal. 6 DOCUMENTOS RELACIONADOS COSO Enterprise Risk Management Framework; Metodologia de Controles Internos e Risco Operacional; Resolução BACEN nº 3.380/06; Resolução BACEN nº 2.554/98. 7 GLOSSÁRIO Apetite ao risco: Quantidade total de riscos que uma companhia ou outra organização está disposta a aceitar na busca de sua missão (ou visão). Áreas de negócio: Áreas que compõem a 1ª linha de defesa, que têm como responsabilidade o gerenciamento e a supervisão dos riscos operacionais inerentes aos seus produtos, serviços, processos e sistemas, bem como a implementação de ações corretivas para endereçar deficiências nos processos com objetivo de mitigar os riscos. BIS (Bank for International Settlements): organização internacional responsável pela supervisão bancária com objetivo de: Buscar a estabilidade monetária e financeira. Fomentar o debate e facilitar a cooperação entre os bancos centrais. Apoiar o diálogo com autoridades responsáveis pela promoção da estabilidade financeira. Realizar pesquisas e análise de políticas sobre questões relevantes para a estabilidade monetária e financeira. Atuar como contraparte principal dos bancos centrais nas transações financeiras. Informação pública Página 10
Servir como agente ou fiduciário em conexão com operações financeiras internacionais. Categorias de respostas ao risco: Evitar - descontinuação das atividades que geram riscos. Reduzir - adoção de medidas para reduzir a probabilidade ou impacto dos riscos, ou até mesmo, ambos. Compartilhar - redução da probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção dos riscos. Aceitar - nenhuma medida é adotada para afetar a probabilidade ou grau de impacto dos riscos. Colaborador: Inclui, individualmente ou de forma conjunta, todo e qualquer empregado, estagiário, acionista, diretor, administrador, conselheiro que de qualquer forma atue em nome da Cetip. COSO (Committee of Sponsoring Organizations of the Treadway Commission): organização privada dedicada ao desenvolvimento de framework e estruturação de melhores práticas para o gerenciamento de riscos empresariais, controles internos e detecção de fraude. Impacto: Resultado ou efeito de um evento. Poderá haver uma série de impactos possíveis associados a um evento. O impacto de um evento pode ser positivo ou negativo em relação aos objetivos correlatos de uma empresa. Indicadores de riscos: Métricas utilizadas para fornecer um sinal antecipado do aumento da exposição aos riscos em diversas áreas da empresa. Em alguns casos, podem representar índices que a administração utiliza para monitorar a evolução dos riscos e oportunidades potenciais que sinalizam a necessidade de realização de ações. Vulnerabilidade: Refere-se à susceptibilidade da empresa com relação a ocorrência de um evento de risco, seja por critérios relacionados com a preparação, a agilidade e a adaptabilidade da empresa. Avaliar a vulnerabilidade permite que as empresas possam medir o quão bem elas estão com relação a gestão de riscos. Walkthrough: Consiste no acompanhamento da execução do processo junto aos gestores, com o objetivo de confirmar seu entendimento, identificar novas atividades, riscos e controles e avaliar se estes controles estão implementados e mitigam os riscos. Diretoria de Compliance, Controles Internos e Risco Operacional Informação pública Página 11