1. OBJETIVO
Tendo em vista que o risco é inerente a qualquer atividade empresarial, é inerente também ao papel social das empresas realizarem seu gerenciamento, objetivando assim prevenir, detectar e mitigar ao máximo eventos que possam impactar seu funcionamento ou seu relacionamento com terceiros, sejam eles Clientes, Fornecedores ou Colaboradores, e com a sociedade.
Sendo assim, esta Política tem como objetivo estabelecer as principais diretrizes relacionadas ao gerenciamento de riscos de liquidez e operacionais, em atendimento às regulamentações aplicáveis e boas práticas de mercado, com vistas à proteção dos negócios e a situação econômico-financeira do CF Bank.
2. DEFINIÇÕES
2.1. RISCO DE LIQUIDEZ
O Risco de Liquidez pode ser definido como a possibilidade de o CF Bank não ser capaz de honrar eficientemente com suas obrigações esperadas e inesperadas, correntes e/ou futuras, sem afetar suas operações diárias e sem incorrer em perdas significativas. Sendo assim, ela pode assumir duas formas distintas, ainda que diretamente relacionadas:
– Risco de Liquidez de Mercado: Surge quando uma transação não pode ser conduzida aos valores normais de mercado em função do volume transacionado, dos chargebacks solicitados e/ou das condições de mercado.
– Risco de Liquidez de Fluxo de Caixa: Surge de dificuldades para o cumprimento das liquidações nas datas previstas, ou em caso de obrigações inesperadas, correntes e futuras, incluindo as decorrentes de vinculação de garantias, sem afetar suas operações diárias e sem incorrer em perdas significativas.
O gerenciamento do risco de liquidez busca utilizar as melhores práticas de maneira a evitar escassez de caixa e dificuldades em realizar as liquidações nas datas previstas.
2.2. RISCO OPERACIONAL
Define-se como Risco Operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Esta definição inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, risco reputacional causado por mídias negativas decorrentes de inadequação operacional, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.
São considerados eventos de Risco Operacional:
– Fraudes internas e externas.
– Práticas inadequadas relativas a clientes, produtos e serviços.
– Danos a ativos físicos próprios ou em uso pelo CF Bank.
– Aqueles que acarretem a interrupção das atividades do CF Bank.
– Falhas em sistemas de tecnologia da informação.
– Falhas na execução, cumprimento de prazos e gerenciamento das atividades do CF Bank.
– Riscos relacionados à Segurança da Informação, comovazamentos, indisponibilidades, erros de aplicação, que possam levar a quebra da confidencialidade, integridade e disponibilidade dos ativos.
3. ABRANGÊNCIA
Esta Política se aplica à Organização, assim como a todos os Stakeholders, de forma a possibilitar a adequada identificação, avaliação, direcionamento, monitoramento e comunicação dos fatos ou eventos de risco, cuja materialização possa causar impactos negativos aos negócios do CF Bank.
Acrescenta-se que o Setor Financeiro do CF Bank têm atribuições específicas visando a efetividade da Segurança da Organização quanto a seus riscos de Liquidez e Operacionais:
– Avaliar e aprovar políticas para Gestão de Risco Operacional e de Liquidez, bem como qualquer alteração nas mesmas.
– Documentar saídas e entradas cujo volume afete significativamente o caixa da Organização.
– Identificar transações atípicas e reportá-las ao Setor de Compliance, sendo este responsável pela investigação.
– Garantir, por meio de avaliação periódica, que todos os sistemas e aplicativos utilizados, estejam em sua versão atualizada.
– Assegurar que a Instituição mantenha níveis adequados e suficientes de liquidez, verificando periodicamente se a gestão de tais riscos estão sendo conduzida em conformidade com as decisões da Alta Administração e da legislação aplicável.
– Documentar, divulgar e disponibilizar metodologias, modelos e ferramentas que proporcionem a gestão efetiva do Risco Operacional e de Liquidez.
– Atuar de forma a garantir que novos produtos, serviços, sistemas e processos estejam em conformidade com essa Política.
– Disseminação da Cultura e conscientização acerca dos procedimentos de Gerenciamento de Risco de Liquidez e Operacional.
Cabe ainda ao Setor de Compliance:
– Definir objetivos e elaborar políticas e procedimentos relacionados ao planejamento estratégicos de risco, matriz de risco, limites de tolerância ao risco, plano de respostas aos riscos, bem como a Política de Continuidade de Negócios.
– Monitorar o grau de aderência dos processos da estrutura de gerenciamento de riscos às políticas.
– Informar periodicamente à Alta Administração sobre os procedimentos e eventos relacionados à presente Política.
– Assegurar o cumprimento desta Política.
– Assegurar que todos os Clientes, Parceiros, Fornecedores e Colaboradores tenham passado por um processo de análise e aprovação, a fim de mitigar possíveis riscos operacionais.
4. PROCESSO DE GERENCIAMENTO DE RISCOS
4.1. IDENTIFICAÇÃO, AVALIAÇÃO, CONTROLE, RESPOSTA, MONITORAMENTO, MITIGAÇÃO E REPORTE
O CF Bank adota a estrutura e processos de gerenciamento de risco de liquidez e operacional compatível com a natureza de suas atividades e complexidade dos produtos e serviços.
A Estrutura de Riscos tem como premissa a seguinte metodologia:
– “COSO ERM” (Committee of Sponsoring Organizations of Treadway Commission) é o modelo internacional de controles internos composto por cinco componentes: Ambiente de Controle; Avaliação de Risco; Atividades de Controle; Informação; e Comunicação e Atividades de Monitoramento.
Segundo o modelo do COSO ERM, controle interno é definido como um processo, executado pela Alta Administração, gerência ou outros associados da Empresa, considerando políticas, procedimentos, atividades e mecanismos designados com o objetivo de proporcionar um grau de confiança razoável na concretização dos seguintes objetivos: Eficácia dos recursos; Confiabilidade da informação financeira; Cumprimento das leis e normas estabelecidas.
Dessa forma o Setor de Compliance desempenhará as suas atividades com a finalidade de assegurar a concretização das seguintes responsabilidades:
– Identificação de Eventos: Os eventos internos e externos que influenciam os riscos operacionais, de crédito e liquidez são identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.
O entendimento dos processos operacionais do CF Bank é fundamental para o processo de gestão de riscos e deve ser efetuado através do mapeamento de riscos das atividades envolvidas no processo, contemplando análise de documental e leitura de políticas, procedimentos, normas internas e manuais, além da realização de entrevistas com gestores da Organização, a fim de compreender os Riscos Inerentes e Riscos Residuais de operações internas e relacionamento com terceiros.
– Avaliação de Riscos: Os riscos são analisados considerando a probabilidade e a consequência para determinar o modo pelo qual deverão ser administrados.
– Apetite por Riscos: Tem como objetivo sinalizar quais os níveis de tolerância aos diferentes tipos de risco que serão admitidos na realização de seus negócios e objetivos. Para a análise, deverá ser levado em consideração: Os tipos de riscos e os respectivos níveis que a instituição está disposta a assumir; A capacidade de a instituição gerenciar riscos de forma efetiva e prudente; Os objetivos estratégicos da instituição; As condições de competitividade e o ambiente regulatório em que a instituição atua.
– Avaliação das Atividades de Controle: São as atividades de controles existentes nos processos, tendo em vista que um efetivo sistema de controles internos reduz a probabilidade de erros humanos e irregularidades em processos e sistemas, resultando na diminuição das perdas operacionais.
Os Riscos identificados são analisados, nivelados e a partir dos resultados obtidos, são propostos planos de gestão de maneira proporcional e aderente às condições do CF Bank.
Com a finalidade de determinar a forma como serão administrados, são avaliados riscos considerando seus efeitos inerentes e residuais, bem como sua probabilidade de ocorrência e os impactos que podem causar ao CF Bank e seus terceiros relacionados.
– Resposta a Risco e Mitigação: Diante do risco, o CF Bank estabelece a resposta a ele, incluindo evitar, reduzir, compartilhar ou aceitar os riscos de acordo com a avaliação do efeito, custos e probabilidade.
– Monitoramento e Comunicação: O monitoramento é realizado por meio de atividades gerenciais contínuas e/ou de avaliações independentes. Todo o resultado desta gestão é reportado à Alta Administração por meio de relatórios que sinalizam os aspectos qualitativos e quantitativos da exposição a risco operacional do CF Bank.
– Aplicação adequada de recursos: O CF Bank deve garantir os recursos humanos e técnicos para a implementação dos objetivos e responsabilidades da Estrutura de Riscos. A aplicação desses recursos incluem equipe qualificada e sistemas de segurança, controle e monitoramento de dados, riscos e fraudes.
– Avaliação de Fornecedores e Parceiros: O CF Bank entende que a seleção criteriosa de fornecedores e parceiros é fundamental para evitar o relacionamento com empresas ligadas a fraude, lavagem de dinheiro e financiamento ao terrorismo, e, sendo assim, possui Políticas próprias que visam mitigar os riscos ligados a essas contratações.
4.2. GERENCIAMENTO DE RISCO OPERACIONAL
Para a prevenção, identificação e tratamento de Riscos Operacionais, o CF Bank adotará:
– Mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos.
– Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques.
– Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança.
– Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito.
– Revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos.
– Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas.
– Realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas.
– Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção.
– Identificação adequada do usuário final.
– Mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento.
– Processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas.
– Mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva.
– Avaliações e filtros específicos para identificar transações consideradas de alto risco.
– Notificação ao usuário final acerca de eventual não execução de uma transação.
– Mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente.
Periodicidade. O CF Bank passa por um ciclo de avaliação e mensuração do risco operacional anualmente, que tem como resultado a emissão de um relatório composto pela identificação e mensuração dos riscos das atividades realizadas pela instituição, o qual deve ser submetido à Alta Administração.
O processo de gestão e controle de risco operacional é submetido a revisões periódicas, com objetivo de manter-se alinhado às melhores práticas de mercado e aderente aos processos de melhoria contínua.
4.3. GERENCIAMENTO DE RISCO DE LIQUIDEZ
Para a prevenção, identificação e tratamento de Riscos de Liquidez, o CF Bank:
– Definirá as diretrizes a serem observadas na concepção e manutenção das atividades sob a gestão da área de Compliance.
– Definirá critérios e instruções para a efetiva gestão da liquidez.
– Definirá modelo de liquidez com parâmetros de criticidade.
– Definirá um plano de contingência e outros mecanismos que garantam a continuidade dos serviços de pagamento prestados.
A Estrutura de Gerenciamento de Riscos também deverá prever, quanto aos Riscos de Liquidez: (a) processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive diário; e (b) plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez. O CF Bank compromete-se a manter permanentemente parte do patrimônio líquido ajustado pelas contas de resultado a fim de garantir a liquidez.
Periodicidade. Os cálculos de risco de liquidez deverão ser realizados diariamente, abrangendo técnicas voltadas ao seu monitoramento, conforme as características e a complexidade das operações.
O processo de gestão e controle de risco de liquidez é submetido a revisões periódicas, com objetivo de manter-se alinhado às melhores práticas de mercado e aderente aos processos de melhoria contínua.
4.4. GERENCIAMENTO DE RISCO DE CRÉDITO
O CF Bank exerce continuamente o mapeamento de todas as atividades que podem gerar exposição ao risco de crédito, com as respectivas classificações quanto à probabilidade e magnitude, assim como a mensuração e planos de mitigação. Cabe ao CF Bank monitorar:
– As perdas decorrentes do não cumprimento de obrigações relativas à liquidação de operações que envolvam fluxos bilaterais.
– As situações em que se faz necessário ocorrer um desembolso para honrar com garantias financeiras prestadas.
– Os fatores de risco ligados ao perfil do cliente.
– O risco de crédito da carteira de aplicações financeiras e/ou investimentos.
A Alta Administração do CF Bank deverá ser envolvida no monitoramento e tomada de decisão referente à Gestão de Crédito.
Periodicidade. A análise de risco de crédito é realizada diariamente para acompanhamento em tempo real de operações que envolvam esses riscos. O processo de gestão e controle de risco de crédito é submetido a revisões periódicas, com objetivo de manter-se alinhado às melhores práticas de mercado e aderente aos processos de melhoria contínua.
4.5. GERENCIAMENTO DE RISCO DE SEGURANÇA DA INFORMAÇÃO
O CF Bank deverá realizar o gerenciamento de Riscos relacionados à Segurança da Informação, junto ao responsável pelo Setor de Tecnologia da Informação de forma semestral. As medidas tomadas no momento do gerenciamento de riscos devem ser formalmente definidas na Política de Segurança da Informação do CF Bank.
A execução, desenvolvimento e implementação de programas de análises de riscos são de responsabilidade do responsável pelo Setor de Tecnologia da Informação. Espera-se que os Colaboradores que fazem parte do CF Bank cooperem totalmente com qualquer análise conduzida em sistemas pelos quais são responsáveis.
Espera-se também que os Colaboradores que fazem parte do CF Bank trabalhem conjuntamente no desenvolvimento de um plano de gestão de risco e remediação.
Avaliações preliminares de risco serão sempre realizadas quando ocorrerem:
– Grandes Pedidos de Alteração.
– Grandes mudanças nos sistemas e redes responsáveis pelo transporte ou processamento de informações confidenciais ou restritas, incluindo novos equipamentos de rede, novos sistemas operacionais e novos servidores de correio.
– Novas interfaces para processadores de terceiros ou integradores de sistemas. As análises de risco devem conter ao menos as seguintes ações:
– Atribuir um nível de risco.
– Atribuir valores para probabilidade e impacto do evento negativo, conforme matriz previamente aprovada.
– Determinar qual nível de segurança existe no momento.
– Verificar possibilidade de Risco Inerente.
– Estabelecer medidas complementares e realizar a gestão do risco.
Incidentes de segurança e falhas devem ser investigados e tratados conforme Política de Resposta a Incidentes de Segurança do CF Bank.
Além disso o CF Bank deve adotar as seguintes práticas:
– Mecanismos de proteção e segurança de dados: Implementação de soluções robustas de criptografia, autenticação e autorização para proteger os dados armazenados, processados e transmitidos.
– Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação: Adoção de medidas, como firewalls, sistemas de detecção e prevenção de intrusões, e sistemas de proteção contra malware, para reduzir a vulnerabilidade a ataques e garantir a integridade e disponibilidade dos sistemas e infraestrutura.
– Procedimentos para monitorar, rastrear e restringir o acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança: Estabelecimento de políticas de controle de acesso e monitoramento contínuo para identificar e prevenir acessos não autorizados, abusos e vazamentos de informações.
– Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais: Estabelecimento de processos de monitoramento e registro de incidentes de segurança e reclamações dos usuários, para garantir a análise, resolução e melhoria contínua das medidas de segurança.
– Procedimentos de revisão das medidas de segurança e sigilo de dados: Realização de revisões periódicas e após a ocorrência de falhas ou incidentes de segurança, para avaliar a eficácia das medidas de proteção e sigilo de dados e implementar melhorias, conforme necessário.
– Procedimentos para a realização de testes que assegurem a robustez e efetividade das medidas de segurança de dados adotadas: Realização de testes periódicos, como testes de penetração e auditorias de segurança, para validar e melhorar a eficácia das medidas de segurança implementadas.
As medidas de segurança implementadas devem ser revistas no caso de ocorrência destes eventos, a fim de sanar os problemas e vulnerabilidades encontrados pelo CF Bank.
5. PLANOS DE CONTINGÊNCIA
5.1. RISCO DE LIQUIDEZ
Para os riscos de liquidez, o fluxo de caixa da instituição será sempre acompanhado pelos membros do Setor Financeiro e sempre que avaliado como necessário, será acionado o plano de contingência financeiro que contará com as seguintes opções:
– Mapeamento de todos os custos que o CF Bank possui, como softwares, plataformas, entre outros. O objetivo desse mapeamento é entender os custos operacionais que o CF Bank possui para seu funcionamento pleno.
– Corte dos custos não utilizados nos últimos 3 (três) meses.
– Acesso a uma linha de crédito emergencial para manter as operações em funcionamento por 06 (seis) meses.
5.2. RISCO OPERACIONAL
Além disso, no que diz respeito aos Riscos Operacionais, o CF Bank se dispõe a sempre dividir o risco com outras partes interessadas, sejam Clientes, Colaboradores ou Parceiros. A avaliação, gerenciamento e monitoramento do risco operacional são etapas obrigatórias, principalmente para realizar a mensuração das perdas financeiras advindas do risco operacional. Internamente, a não observância das determinações desta Política, pode acarretar em ações de gestão de consequência, incluindo uma orientação sobre como proceder para identificar falhas e minimizar os eventuais impactos.
6. APROVAÇÃO E VIGÊNCIA
A presente Política foi aprovada no dia 25/07/2023, pelos membros componentes da Alta Administração, entrando em vigor na data de sua publicação, e deve ser atualizada anualmente, ou quando ocorrerem mudanças corporativas, na legislação ou na regulamentação que demandem alterações.