Política de Gerenciamento de Riscos Operacionais e Liquidez

Objetivo

Esta Política de Gerenciamento de Riscos Operacionais e de Liquidez (“Política”) tem o objetivo de estabelecer as diretrizes gerais, critérios e procedimentos adotados para o gerenciamento dos riscos operacionais e de liquidez, a governança, a salvaguarda dos recursos mantidos em contas de pagamento, a fim de possibilitar a identificação, avaliação, monitoramento, tratamento, comunicação dos riscos operacionais e de liquidez da CELCOIN INSTITUIÇÃO DE PAGAMENTO S.A. (“CELCOIN”), em atendimento à regulamentação do Bacen e às melhores práticas.

Abrangência

A Política se aplica a todos os administradores (coletivamente “Alta Administração”), funcionários e prestadores de serviço1 da CELCOIN (coletivamente, inclusive a Alta Administração, denominados simplesmente por, “Colaboradores”). O gerenciamento de riscos é inerente à atividade da CELCOIN e, portanto, é dever de todos o cumprimento desta Política. Cabe à Alta Administração, ou à área por ela determinada, a divulgação e implementação de suas medidas e procedimentos.

Normas aplicáveis

• Circular BACEN Nº 3.681/2013: Dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento.

• Resolução CMN Nº 2.554/1998: Dispõe sobre a implantação e implementação de sistema de controles internos.

• Resolução CMN Nº 3.339/2006: Altera e consolida as normas que disciplinam as operações compromissadas envolvendo títulos de renda fixa.

• Resolução CMN Nº 3.694/2009: Dispõe sobre a prevenção de riscos na contratação de operações e na prestação de serviços de pagamento aos usuários finais.

• Resolução CMN Nº 3.919/2010: Altera e consolida as normas sobre cobrança de tarifas pela prestação de serviços de pagamento aos usuários finais, inclusive para efeitos de remuneração.

Definições

Bacen: Banco Central do Brasil.

Conta de Pagamento: conta de titularidade do Usuário, destinada ao carregamento, transferência e resgate de recursos, cujos valores, convertidos em moeda eletrônica, serão geridos e custodiados pela CELCOIN.

Instituição de Pagamento: para fins desta Política, é a CELCOIN como emissora de moeda eletrônica, cuja atividade consiste em gerenciar a Conta de Pagamento de Usuários, utilizada para o pagamento de transações pré-pagas.

Risco: possibilidade de materialização de evento que resulte em impactos negativos à operação dos negócios da CELCOIN.

Risco Operacional: possibilidade de ocorrência de perdas resultantes de falhas, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. A abrangência dessa definição inclui também o risco legal associado à inadequação ou deficiência em contratos firmados, além de sanções que possam ser impostas em razão do descumprimento de dispositivos legais e indenizações por danos a terceiros.

Risco de Liquidez: potencialidade de descasamento de fluxos financeiros de ativos e passivos, bem como de seus reflexos sobre a capacidade financeira da CELCOIN em obter recursos e honrar suas obrigações.

Sistema de Pagamentos: serviços relacionados à abertura de Conta de Pagamento e realização de Transações de carregamento, transferência e resgate de recursos pelo Usuário, incluindo a disponibilização de informações sobre a movimentação e fornecimento de extratos.

Transação: operação em que o Usuário realiza a movimentação de sua Conta de Pagamento, realizando o carregamento de recursos, a transferência de recursos para a Conta de Pagamento de titularidade de outros usuários, ou o resgate de recursos para a conta bancária do Usuário ou de terceiro por ele indicado.

Usuário: pessoa física ou jurídica, titular da Conta de Pagamento que, ao aderir ao termo de abertura de Conta de Pagamento, está habilitada a realizar Transações por meio do Sistema de Pagamentos.

Matriz de Risco: diretriz para a avaliação qualitativa e/ou quantitativa do efeito dos riscos nos objetivos estratégicos da CELCOIN.

Risk Appetite Statements (“Ras”): trata-se do Apetite de Tolerância ao Risco, definido como o nível de variação aceitável quanto à realização de um determinado objetivo.

Plano de Resposta aos Riscos: conjunto de medidas adotadas para diminuir o risco inerente a um nível que esteja em consonância com a Tolerância ao Risco da CELCOIN.

Incidente: trata-se da materialização do risco.

Gerenciamento de riscos

1. Estrutura de gerenciamento de riscos

Para assegurar a efetividade desta Política, a Estrutura de Gerenciamento de Riscos (“Estrutura de Riscos”) prevê uma atuação compartilhada para a gestão de cada risco.

Todos os Colaboradores que desempenham atividades correlatas aos riscos objeto desta Política têm o dever de zelar pela conformidade dos processos de gerenciamento de riscos.

A Estrutura de Gerenciamento de Riscos deverá prever políticas e estratégias aprovadas e revisadas, anualmente, pela diretoria e/ou pela alta administração, para determinar sua compatibilidade com os objetivos da CELCOIN e com as condições de mercado; e deverá manter esta documentação acerca das políticas, estratégias de gerenciamento de riscos e governança à disposição do Bacen, com critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas necessárias para mitigar o risco operacional, e a continuidade dos serviços de pagamento prestados.

A Estrutura de Riscos tem como principais diretrizes três linhas de defesa:

Primeira Linha de Defesa: composta pela Alta Direção e pelos gestores que gerenciam e implementam as ações para monitoramento e mitigação dos riscos associados aos processos sob sua responsabilidade.

Segunda Linha de Defesa: composta pelas áreas ou pessoas responsáveis por Compliance, Controles Internos e Gestão de Riscos, conforme o caso, responsáveis pela definição dos métodos para identificação, avaliação e monitoramento do grau de exposição a riscos operacionais e de liquidez.

Terceira Linha de Defesa: composta pelas áreas ou pessoas responsáveis pelas atividades que provêm verificação e avaliação independente e periódica da eficácia dos processos e procedimentos estabelecidos para controle e gestão dos riscos, incluindo grau de exposição e adequação da estrutura do sistema de controles internos da CELCOIN.

 

2. Responsabilidade

Cabe à Alta Administração:

• Aprovar, anualmente, a Política de Gerenciamento de Riscos;
• Assegurar o cumprimento desta política;

Cabe ao Head de Riscos:

• Definir objetivos e elaborar políticas e procedimentos relacionados ao planejamento estratégicos de risco, Matriz de Riscos, limites de Tolerância ao Risco, Plano de Respostas aos Riscos e políticas de continuidade de negócios;
• Monitorar o grau de aderência dos processos da estrutura de gerenciamento de riscos às políticas;
• Aprovar os planejamentos estratégicos de risco, a Matriz de Riscos, os limites de Tolerância ao Risco, Plano de Respostas aos Riscos e políticas de continuidade de negócios;
• Informar periodicamente à Alta Administração sobre as políticas, procedimentos e eventos objetos desta Política;
• Assegurar o cumprimento desta Política.

 

3. Estratégia

A Estrutura de Riscos desempenhará as suas atividades com a finalidade de assegurar a concretização das seguintes reponsabilidades:

Identificação de Eventos: os eventos internos e externos que influenciam o Risco Operacional são identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos;
Avaliação de Riscos: os Riscos são analisados considerando a probabilidade e a consequência para determinar o modo pelo qual deverão ser administrados;
Avaliação das Atividades de Controle: são as atividades de controles existentes nos processos, tendo em vista que um efetivo sistema de controles internos reduz a probabilidade de erros humanos e irregularidades em processos e sistemas, resultando na diminuição das perdas operacionais;
Resposta a Risco e Mitigação: diante do risco, a CELCOIN estabelece a resposta a ele, que inclui evitar, reduzir, compartilhar ou aceitar os riscos de acordo com a avaliação do efeito, custos e benefícios. São desenvolvidas ações para manter o alinhamento do RAS;
Monitoramento e Comunicação: o monitoramento é realizado por meio de atividades gerenciais contínuas e/ou de avaliações independentes. Todo o resultado desta gestão é reportado à Alta Administração por meio de relatórios que sinalizam os aspectos qualitativos e quantitativos da exposição a risco operacional da CELCOIN.
Aplicação adequada de recursos: a CELCOIN deve garantir os recursos humanos e técnicos para a implementação dos objetivos e responsabilidades da Estrutura de Riscos. A aplicação desses recursos inclui equipe qualificada e sistemas de segurança, controle e monitoramento de dados.

Risco operacional

1. Escopo

• Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
• Falhas na identificação e autenticação do usuário final;
• Falhas na autorização das transações de pagamento;
• Fraudes internas;
• Fraudes externas;
• Demandas trabalhistas e segurança deficiente do local de trabalho;
• Práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;
• Danos a ativos físicos próprios ou em uso pela CELCOIN;
• Ocorrências que acarretem a interrupção das atividades da CELCOIN de pagamento ou a descontinuidade dos serviços de pagamento prestados.
• Falhas em sistemas, processos ou infraestrutura de tecnologia da informação;
• Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento.

 

2. Prevenção, identificação e tratamento de riscos operacionais

Para a prevenção, identificação e tratamento de Riscos Operacionais, a CELCOIN adotará:

• Plano de contingência e outros mecanismos que garantam a continuidade dos serviços de pagamento prestados;
• Mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;
• Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;
• Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;
• Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;
• Revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;
• Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;
• Realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;
• Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;
• Identificação adequada do usuário final;
• Mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento;
• Processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;
• Mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;
• Avaliações e filtros específicos para identificar transações consideradas de alto risco;
• Notificação ao usuário final acerca de eventual não execução de uma transação;
• Mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;
• Critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores;
• Avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição de pagamento.

Nos casos de prestação de serviços terceirizados, a CELCOIN deverá estipular em contrato que o contratado deverá: (a) atender ao disposto nesta Política; e (b) permitir o acesso da CELCOIN aos dados e às informações sobre os serviços prestados.

Risco de liquidez

1. Escopo

Consideram-se eventos de Risco de Liquidez:

• A incapacidade de honrar, eficientemente, as obrigações esperadas e inesperadas, correntes e futuras, sem que sejam afetadas as operações diárias da CELCOIN e sem incorrer em perdas significativas;
• A incapacidade de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.

O Risco de Liquidez pode ser classificado como:

Risco de descasamento: a possibilidade de que as diferenças entre as estruturas de vencimentos dos ativos e os passivos gerem um descasamento no caixa. Isto levaria a incapacidade de honrar seus pagamentos e, pela natureza do negócio, esse risco está relacionado principalmente à incapacidade de honrar os recursos utilizados pelos clientes.
Risco de Financiamento: a possibilidade de que a CELCOIN seja incapaz de cumprir suas obrigações decorrentes da incapacidade de vender ativos ou financiar-se;
Risco de Contingência: a possibilidade de não dispor de opções adequadas para a obtenção de liquidez como consequência de um evento externo que implique maiores necessidade de financiamento.

 

2. Prevenção, identificação e tratamento de riscos de liquidez

Para a prevenção, identificação e tratamento de Riscos Operacionais, a CELCOIN:

• Definirá as diretrizes serem observadas na concepção e manutenção das atividades sob a gestão da área de Riscos;
• Definirá critérios e instruções para a efetiva gestão da liquidez dos arranjos de pagamentos instituídos pela CELCOIN;
• Definirá modelo de liquidez com parâmetros de criticidade.

A Estrutura de Gerenciamento de Riscos também deverá prever, quanto aos Riscos de Liquidez:
(a) processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia; e
(b) plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez. A CELCOIN compromete-se a manter permanentemente patrimônio líquido ajustado pelas contas de resultado correspondente a, no mínimo, o maior valor entre 2% (dois por cento) da média mensal das transações de pagamento executadas pela CELCOIN nos últimos 12 (doze) meses ou do saldo das moedas eletrônicas por elas emitidas, apurado diariamente.

Matriz de classificação de transações de risco

Todo problema identificado por meio dos instrumentos descritos nas etapas anteriores exige análise e definição de planos de ação, visando à melhoria dos processos e manutenção dos níveis de risco dentro dos patamares de exposição aceitáveis de acordo com RAS definido pela CELCOIN.

• Definição do RAS: o RAS será definido e aprovado de acordo com as responsabilidades da Estrutura de Risco. O procedimento interno da CELCOIN irá descrever o processo relativo à construção e monitoramento do limite de risco operacional.
• Mapeamento dos riscos e controles das atividades: a CELCOIN determinará sua Matriz de Riscos, com o objetivo de identificar os riscos associados aos processos/atividades, classificando-os quanto à probabilidade e ao impacto, suas consequências e controles utilizados. A sua aplicação tem o objetivo de fornecer uma visão integral do fluxo do processo, suas dependências e interações.

Monitoramento de riscos

Aos Diretores de Compliance, de Riscos e de Auditoria Interna, no que couber, competem a função de monitorar os processos e informar a Alta Direção sobre riscos e ocorrências de falhas nos processos interno.
Faz parte do processo de monitoramento a condução de testes de verificação e revisão, quanto ao cumprimento das políticas, procedimentos e conformidades. Todos os sistemas, processos, operações, funções e atividades dentro da CELCOIN estão sujeitos a futuras revisões.

Gestão de contingência e de continuidade de negócios

A fim de se garantir os objetivos desta Política, a CELCOIN deve elaborar políticas a procedimentos específicos para o tratamento de contingências gestão de continuidade de negócios, observando-se as seguintes diretrizes:

• A efetividade da implementação do plano, políticas e procedimentos para a gestão de contingência e de continuidade de negócios, seguindo as atribuições e responsabilidades da Estrutura de Riscos;
• O tratamento adequado para o gerenciamento de crise, da continuidade operacional e recuperação de desastres;
• A garantia de recursos, humanos e materiais, para a implementação do plano, políticas e procedimentos para a gestão da continuidade de negócios;
• A estabilidade organizacional em nível adequado durante a recuperação, após a indisponibilidade de processos e serviços críticos;
• A resposta adequada, coordenada e tempestiva em situações de crise;
• Assegurar a validação dos ambientes e procedimentos de contingência por meio de teste periódicos.

Procedimentos de correção de falhas

Os procedimentos de correção de falhas deverão abordar:

Identificação de perdas Operacionais: a apuração da perda decorrente de Incidente constitui fator importante para o cumprimento das exigências dos órgãos reguladores além de prover a CELCOIN com informações consistentes, padronizadas e atualizadas, decisivas para uma análise quantitativa do gerenciamento do risco na CELCOIN.
Avaliação da Qualidade dos Controles: a avaliação dos controles tem como objetivo avaliar a efetividade/eficiência dos controles, a fim de verificar se estes estão sendo executados conforme descritos nas matrizes de risco e políticas internas.
Plano de Treinamento: o plano de treinamento tem como objetivo, por meio de simulações de Incidentes e avaliação de Incidentes ocorridos, tem o objetivo de garantir que os Colaboradores estejam preparados para lidar com Incidentes e aptos a identificar situações de riscos e vulnerabilidades.

Da aplicação dos recursos mantidos em contas de pagamento

A CELCOIN deverá manter recursos líquidos correspondentes aos saldos de moedas eletrônicas mantidas em contas de pagamento, acrescidos dos saldos de moedas eletrônicas em trânsito entre contas de pagamento na mesma instituição; e valores recebidos pela instituição para crédito em conta de pagamento, enquanto não disponibilizados para livre movimentação pelo usuário final da conta de pagamento destinatária.
Quando a CELCOIN possuir acesso ao Sistema de Transferência de Reservas (STR) do Bacen, até o encerramento do horário estabelecido para o funcionamento do STR, os recursos apurados deverão ser alocados em espécie, mediante transferência a crédito em conta específica no Bacen; ou títulos públicos federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic), inclusive por meio das operações compromissadas.
Quando a CELCOIN não possuir acesso ao Sistema de Transferência de Reservas (STR) do Bacen, os recursos apurados deverão ser custodiados em conta corrente, em nome da CELCOIN, em banco de primeira linha, segregada de seus recursos próprios; ou títulos públicos federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic), inclusive por meio das operações compromissadas.
A CELCOIN deverá seguir as regras do Bacen que dispõem sobre custódia e aplicação de recursos mantidos em conta de pagamento.

Disposições gerais

Esta Política está disponível em local acessível a todos Colaboradores, Fornecedores e Usuários, em linguagem clara e acessível.