Políticas de Gerenciamento de Risco e Compliance
1.Objetivos
Esta Política de Gerenciamento de Riscos Operacionais e de Liquidez (“Política”) tem o objetivo de estabelecer as diretrizes gerais, critérios e procedimentos adotados para o gerenciamento dos riscos operacionais e de liquidez, a governança, a salvaguarda dos recursos mantidos em contas de pagamento, a fim de possibilitar a identificação, avaliação, monitoramento, tratamento, comunicação dos riscos operacionais e de liquidez da PRODUTOS E SERVICOS DIGITAIS LTDA. “ ”, em atendimento à regulamentação do Bacen e às melhores práticas.
2. Abrangência
A Política se aplica a todos os administradores (coletivamente “Alta Administração”),
funcionários e prestadores de serviço da (coletivamente, inclusive a Alta
Administração, denominados simplesmente por, “Colaboradores”).
O gerenciamento de riscos é inerente à atividade da e, portanto, é dever de todos o
cumprimento desta Política. Cabe à Alta Administração, ou à área por ela determinada, a
divulgação e implementação de suas medidas e procedimentos.
3. Normas aplicáveis
– Circular BACEN Nº 3.681/2013: Dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento.
– Resolução CMN Nº 2.554/1998: Dispõe sobre a implantação e implementação de sistema de controles internos.
– Resolução CMN Nº 3.694/2009: Dispõe sobre a prevenção de riscos na contratação de operações e na prestação de serviços de pagamento aos usuários finais.
– Resolução CMN Nº 3.919/2010: Altera e consolida as normas sobre cobrança de tarifas pela prestação de serviços de pagamento aos usuários finais, inclusive para efeitos de remuneração.
– Resolução CMN Nº 3.339/2006: Altera e consolida as normas que disciplinam as operações compromissadas envolvendo títulos de renda fixa.
4. Definições
– Bacen: Banco Central do Brasil.
– Conta de Pagamento: conta de titularidade do Usuário, destinada ao carregamento, transferência e resgate de recursos, cujos valores, convertidos em moeda eletrônica, serão geridos e custodiados pela Five.
– Instituição de Pagamento: para fins desta Política, é a como emissora de moeda eletrônica, cuja atividade consiste em gerenciar a Conta de Pagamento de Usuários, utilizada para o pagamento de transações pré-pagas.
– Risco: possibilidade de materialização de evento que resulte em impactos negativos à operação dos negócios da Five
– Risco Operacional: possibilidade de ocorrência de perdas resultantes de falhas, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. A abrangência dessa definição inclui também o risco legal associado à inadequação ou deficiência em contratos firmados, além de sanções que possam ser impostas em razão do descumprimento de dispositivos legais e indenizações por danos a terceiros.
– Risco de Liquidez: potencialidade de descasamento de fluxos financeiros de ativos e passivos, bem como de seus reflexos sobre a capacidade financeira da em obter recursos e honrar suas obrigações.
– Sistema de Pagamentos: serviços relacionados à abertura de Conta de Pagamento e realização de Transações de carregamento, transferência e resgate de recursos pelo Usuário, incluindo a disponibilização de informações sobre a movimentação e
fornecimento de extratos.
– Transação: operação em que o Usuário realiza a movimentação de sua Conta de Pagamento, realizando o carregamento de recursos, a transferência de recursos para a Conta de Pagamento de titularidade de outros usuários, ou o resgate de recursos para a conta bancária do Usuário ou de terceiro por ele indicado.
– Usuário: pessoa física ou jurídica, titular da Conta de Pagamento que, ao aderir ao termo de abertura de Conta de Pagamento, está habilitada a realizar Transações por meio do Sistema de Pagamentos.
– Matriz de Risco: diretriz para a avaliação qualitativa e/ou quantitativa do efeito dos riscos nos objetivos estratégicos da Five
– Risk Appetite Statements (“RAS”): trata-se do Apetite de Tolerância ao Risco, definido como o nível de variação aceitável quanto à realização de um determinado objetivo.
– Plano de Resposta aos Riscos: conjunto de medidas adotadas para diminuir o risco inerente a um nível que esteja em consonância com a Tolerância ao Risco da
– Incidente: trata-se da materialização do risco.
5.Gerenciamento de Risco
5.1. Estrutura de Gerenciamento de Riscos
Para assegurar a efetividade desta Política, a Estrutura de Gerenciamento de Riscos (“Estrutura de Riscos”) prevê uma atuação compartilhada para a gestão de cada risco. Todos os Colaboradores que desempenham atividades correlatas aos riscos objeto desta Política têm o dever de zelar pela conformidade dos processos de gerenciamento de riscos.
A Estrutura de Gerenciamento de Riscos deverá prever políticas e estratégias aprovadas e revisadas, anualmente, pela diretoria e/ou pela alta administração, para determinar sua compatibilidade com os objetivos da e com as condições de mercado; e deverá manter esta documentação acerca das políticas, estratégias de gerenciamento de riscos e governança à disposição do Bacen, com critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas necessárias para mitigar o risco operacional, e a continuidade dos serviços de pagamento prestados.
A Estrutura de Riscos tem como principais diretrizes três linhas de defesa:
– PRIMEIRA LINHA DE DEFESA: composta pela Alta Direção e pelos gestores que gerenciam e implementam as ações para monitoramento e mitigação dos riscos associados aos processos sob sua responsabilidade.
– SEGUNDA LINHA DE DEFESA: composta pelas áreas ou pessoas responsáveis por Compliance, Controles Internos e Gestão de Riscos, conforme o caso, responsáveis pela definição dos métodos para identificação, avaliação e monitoramento do grau de exposição a riscos operacionais e de liquidez.
– TERCEIRA LINHA DE DEFESA: composta pelas áreas ou pessoas responsáveis pelas atividades que provêm verificação e avaliação independente e periódica da eficácia dos processos e procedimentos estabelecidos para controle e gestão dos riscos, incluindo grau de exposição e adequação da estrutura do sistema de controles internos da Five.
5.2. Responsabilidades
Cabe à Alta Administração:
– Aprovar e revisar, anualmente, a Política de Gerenciamento de Riscos;- Aprovar os planejamentos estratégicos de risco, a Matriz de Riscos, os limites de Tolerância ao Risco, Plano de Respostas aos Riscos e políticas de continuidade de negócios;
– Assegurar o cumprimento desta política;
– Nomear o Diretor de Riscos (CRO).
Cabe ao Diretor de Riscos:
– Definir objetivos e elaborar políticas e procedimentos relacionados ao planejamento estratégicos de risco, Matriz de Riscos, limites de Tolerância ao Risco, Plano de Respostas aos Riscos e políticas de continuidade de negócios;
– Monitora o grau de aderência dos processos da estrutura de gerenciamento de riscos às políticas;
– Informar periodicamente à Alta Administração sobre as políticas, procedimentos e eventos objetos desta Política;
– Assegurar o cumprimento desta Política.
5.3. Estratégias
A Estrutura de Riscos desempenhará as suas atividades com a finalidade de assegurar a
concretização das seguintes reponsabilidades:
– Identificação de Eventos: os eventos internos e externos que influenciam o Risco Operacional são identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos;
– Avaliação de Riscos: os Riscos são analisados considerando a probabilidade e a consequência para determinar o modo pelo qual deverão ser administrados;
– Avaliação das Atividades de Controle: são as atividades de controles existentes nos processos, tendo em vista que um efetivo sistema de controles internos reduz a probabilidade de erros humanos e irregularidades em processos e sistemas, resultando na diminuição das perdas operacionais;
– Resposta a Risco e Mitigação: diante do risco, a estabelece a resposta a ele, que inclui evitar, reduzir, compartilhar ou aceitar os riscos de acordo com a avaliação do efeito, custos e benefícios. São desenvolvidas ações para manter o alinhamento do RAS;
– Monitoramento e Comunicação: o monitoramento é realizado por meio de atividades gerenciais contínuas e/ou de avaliações independentes. Todo o resultado desta gestão é reportado à Alta Administração por meio de relatórios que sinalizam os aspectos qualitativos e quantitativos da exposição a risco operacional da Five.
Aplicação adequada de recursos: a Five deve garantir os recursos humanos e técnicos para a implementação dos objetivos e responsabilidades da Estrutura de Riscos. A aplicação desses recursos inclui equipe qualificada e sistemas de segurança, controle e monitoramento de dados.
6. Risco Operacional
6.1. Escopo
Consideram-se eventos de Risco Operacional:
– Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
– Falhas na identificação e autenticação do usuário final;
– Falhas na autorização das transações de pagamento;
– Fraudes internas;
– Fraudes externas;
– Demandas trabalhistas e segurança deficiente do local de trabalho;
– Práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;
– Danos a ativos físicos próprios ou em uso pela Five
– Ocorrências que acarretem a interrupção das atividades da de pagamento ou a descontinuidade dos serviços de pagamento prestados.
– Falhas em sistemas, processos ou infraestrutura de tecnologia da informação;
– Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento.
6.2. Prevenção, identificação e tratamento de Riscos Operacionais
Para a prevenção, identificação e tratamento de Riscos Operacionais, a Five adotará:
– Plano de contingência e outros mecanismos que garantam a continuidade dos serviços de pagamento prestados;
– Mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;
– Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;
– Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;
– Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;
– Revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;
– Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;
– Realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;
– Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;
– Identificação adequada do usuário final;
– Mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento;
– Processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;
– Mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;
– Avaliações e filtros específicos para identificar transações consideradas de alto risco;
– Notificação ao usuário final acerca de eventual não execução de uma transação;
– Mecanismos que permitam ao usuário final verificar se a transação foi executada
corretamente;
– Critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores;]
– Avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição de pagamento.
– Nos casos de prestação de serviços terceirizados, a Five deverá estipular em contrato que o contratado deverá: (a) atender ao disposto nesta Política; e (b) permitir o acesso da Five aos dados e às informações sobre os serviços prestados.
7. Risco de Liquidez
7.1. Escopo
– A incapacidade de honrar, eficientemente, as obrigações esperadas e inesperadas, correntes e futuras, sem que sejam afetadas as operações diárias da e sem incorrer em perdas significativas;
– A incapacidade de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.
O Risco de Liquidez pode ser classificado como:
– Risco de descasamento: a possibilidade de que as diferenças entre as estruturas de vencimentos dos ativos e os passivos gerem um descasamento no caixa. Isto levaria a incapacidade de honrar seus pagamentos e, pela natureza do negócio, esse risco está relacionado principalmente à incapacidade de honrar os recursos utilizados pelos clientes.
– Risco de Financiamento: a possibilidade de que a seja incapaz de cumprir suas obrigações decorrentes da incapacidade de vender ativos ou financiar-se;
– Risco de Contingência: a possibilidade de não dispor de opções adequadas para a obtenção de liquidez como consequência de um evento externo que implique maiores necessidade de financiamento.
7.2. Prevenção, identificação e tratamento de Riscos de Liquidez
Para a prevenção, identificação e tratamento de Riscos Operacionais, a Five:
– Definirá as diretrizes serem observadas na concepção e manutenção das atividades sob a gestão da área de Riscos;
– Definirá critérios e instruções para a efetiva gestão da liquidez dos arranjos de pagamentos instituídos pela Five
– Definirá modelo de liquidez com parâmetros de criticidade.
A Estrutura de Gerenciamento de Riscos também deverá prever, quanto aos Riscos de Liquidez: (a) processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia; e (b) plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez. A Five compromete-se a manter permanentemente patrimônio líquido ajustado pelas contas de resultado correspondente a, no mínimo, o maior valor entre 2% (dois por cento) da média mensal das transações de pagamento executadas pela Five nos últimos 12 (doze) meses ou do saldo das moedas eletrônicas por elas emitidas, apurado diariamente.
Além da manutenção dos requerimentos mínimos de patrimônio, a Five compromete-se a não realizar aquisições de ativos imobilizados que reduzam a liquidez a montante inferior ao patrimônio líquido ajustado necessário para o cumprimento de suas atividades e desta Política.
8.Matriz de Classificação de Transações de Risco
Todo problema identificado por meio dos instrumentos descritos nas etapas anteriores exige análise e definição de planos de ação, visando à melhoria dos processos e manutenção dos níveis de risco dentro dos patamares de exposição aceitáveis de acordo com RAS definido pela Five.
– Definição do RAS: o RAS será definido e aprovado de acordo com as responsabilidades da Estrutura de Risco. O procedimento interno da Five irá descrever o processo relativo à construção e monitoramento do limite de risco operacional.
– Mapeamento dos riscos e controles das atividades: a Five determinará sua Matriz de Riscos, com o objetivo de identificar os riscos associados aos processos/atividades, classificando-os quanto à probabilidade e ao impacto, suas consequências e controles utilizados. A sua aplicação tem o objetivo de fornecer uma visão integral do fluxo do processo, suas dependências e interações
9.Monitoramento de Riscos
Aos Diretores de Compliance, de Riscos e de Auditoria Interna, se o caso, competem a função de monitorar os processos e informar a Alta Direção sobre riscos e ocorrências de falhas nos processos interno. Faz parte do processo de monitoramento a condução de testes de verificação e revisão, quanto ao cumprimento das políticas, procedimentos e conformidades. Todos os sistemas, processos, operações, funções e atividades dentro da Five estão sujeitos a futuras revisões.
10. Gestão de Contingências e de Continuidade de Negócios
A fim de se garantir os objetivos desta Política, a Five deve elaborar políticas a procedimentos específicos para o tratamento de contingências gestão de continuidade de negócios, observando-se as seguintes diretrizes:
– A efetividade da implementação do plano, políticas e procedimentos para a gestão de contingência e de continuidade de negócios, seguindo as atribuições e responsabilidades da Estrutura de Riscos;
– O tratamento adequado para o gerenciamento de crise, da continuidade operacional e recuperação de desastres;
– A garantia de recursos, humanos e materiais, para a implementação do plano, políticas e procedimentos para a gestão da continuidade de negócios;
– A estabilidade organizacional em nível adequado durante a recuperação, após a indisponibilidade de processos e serviços críticos;
– A resposta adequada, coordenada e tempestiva em situações de crise;
– Assegurar a validação dos ambientes e procedimentos de contingência por meio de teste periódicos.
11. Procedimentos de Correção de Falhas
Os procedimentos de correção de falhas deverão abordar:
– Identificação de Perdas Operacionais: a apuração da perda decorrente de Incidente constitui fator importante para o cumprimento das exigências dos órgãos reguladores além de prover a com informações consistentes, padronizadas e atualizadas, decisivas para uma análise quantitativa do gerenciamento do risco na Five.
– Avaliação da Qualidade dos Controles: a avaliação dos controles tem como objetivo avaliar a efetividade/eficiência dos controles, a fim de verificar se estes estão sendo executados conforme descritos nas matrizes de risco e políticas internas.
– Plano de Treinamento: o plano de treinamento tem como objetivo, por meio de simulações de Incidentes e avaliação de Incidentes ocorridos, tem o objetivo de garantir que os Colaboradores estejam preparados para lidar com Incidentes e aptos a identificar situações de riscos e vulnerabilidades.
12. Da Aplicação dos Recursos Mantidos em Contas de Pagamento
A Five deverá manter recursos líquidos correspondentes aos saldos de moedas eletrônicas mantidas em contas de pagamento, acrescidos dos saldos de moedas eletrônicas em trânsito entre contas de pagamento na mesma instituição; e valores recebidos pela instituição para crédito em conta de pagamento, enquanto não disponibilizados para livre movimentação pelo usuário final da conta de pagamento destinatária.
Quando a Five possuir acesso ao Sistema de Transferência de Reservas (STR) do Bacen, até o encerramento do horário estabelecido para o funcionamento do STR, os recursos apurados deverão ser alocados em espécie, mediante transferência a crédito em conta específica no Bacen; ou títulos públicos federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic), inclusive por meio das operações compromissadas.
Quando a Five não possuir acesso ao Sistema de Transferência de Reservas (STR) do Bacen, os recursos apurados deverão ser custodiados em conta corrente, em nome da em banco de primeira linha, segregada de seus recursos próprios; ou títulos públicos federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic), inclusive por meio das operações compromissadas.
A Five deverá seguir as regras do Bacen que dispõem sobre custódia e aplicação de recursos mantidos em conta de pagamento.
13. Disposições Finais
O cumprimento desta Política é dever de todos os Colaboradores. Além disso, esta Política contém o modelo do Termo de Adesão à Política de Gerenciamento de Riscos e Termo de Adesão às Alterações da Política de Gerenciamento de Riscos, que deverão ser assinados por todos os Colaboradores que tenham, de algum modo, sua atividade vinculada às práticas e procedimentos estabelecidos nesta Política. Esta Política será aprovada pela Diretoria e pela Alta Administração da Five e adequadamente documentada e submetida a revisões periódicas, com a documentação mantida à disposição do Bacen.
- FALE CONOSCO
-
62 98150‑2132
62 99884‑9521 - suporte@fivepayments.com.br
- FIVE PAYMENTS
- Políticas de Compliance
- Código de Ética e Conduta