Política de Gerenciamento de Riscos

Objetivo

Estabelecer princípios, diretrizes e responsabilidades a serem observadas no gerenciamento de riscos operacional, liquidez e de crédito e dos requerimentos mínimos de patrimônio da Pomelo Instituição de Pagamento S.A. ("Pomelo IP"), que contemple estrutura compatível com a natureza das atividades da Companhia e a complexidade dos produtos e serviços oferecidos, proporcional à dimensão das exposições aos riscos, em consonância com a regulamentação vigente.

Define e formaliza os principais riscos, a estrutura corporativa envolvida e determina a governança do tema, além de apontar os principais indicadores e controles chaves que contribuem para o eficaz gerenciamento dos riscos.

Abrangencia

A presente Política de Gerenciamento de Riscos (“Política”) é aplicável a todos os colaboradores da Companhia que participam ou intervêm nos processos de gerenciamento de riscos.

Definições

Risco Operacional

O risco operacional pode ser entendido como a possibilidade de ocorrência de perdas resultantes em diferentes eventos, tais como:

- Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos Clientes Pomelo IP quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;

- Falhas na identificação e autenticação dos Clientes Pomelo IP;

- Falhas na autorização das transações de pagamento;

- Fraudes internas e/ou externas;

- Demandas trabalhistas e segurança deficiente do local de trabalho;

- Práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;

- Danos a ativos físicos próprios ou em uso pela instituição;

- Ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados;

- Falhas em sistemas, processos ou infraestrutura de tecnologia da informação;

- Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento;

- Falhas na iniciação de transação de pagamento.

Risco de Liquidez

O risco de liquidez pode ser entendido como a possibilidade de a Companhia, por exemplo:

- Não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em perdas significativas;

- Não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.

São exemplos - não exaustivos - de Risco de Liquidez: a falta de fluxo de caixa suficiente para cumprir obrigações financeiras imediatas, a incapacidade de obter financiamento de curto prazo quando necessário, a falta de capacidade de venda de ativos líquidos em um mercado em baixa ou a falta de previsibilidade em relação aos recebimentos de clientes.

Dessa forma, a empresa poderá gerenciar proativamente seus riscos de liquidez e tomar decisões informadas em relação a investimentos em mitigação de riscos e outros recursos necessários para garantir a continuidade de suas operações.

Risco de Crédito

Risco de Crédito consiste na possibilidade de ocorrência de perdas associadas ao não cumprimento pela contraparte de suas respectivas obrigações financeiras nos termos pactuados, à redução de ganhos ou remunerações, às vantagens concedidas na renegociação e aos custos de recuperação, incluindo o inadimplemento das obrigações devidas pela contraparte:

Do Cliente Pomelo IP ou usuário final perante a Pomelo na condição de emissor de instrumento de pagamento pós-pago;

Da instituição de pagamento devedora de outra instituição de pagamento em função de acordo de interoperabilidade entre diferentes arranjos.

Esse risco pode surgir por fatores como a deterioração da capacidade de pagamento do devedor, a ausência ou deterioração das garantias em relação ao saldo devedor, a incapacidade de cumprir os termos do contrato, entre outros.

Estrutura de Gerenciamento de Riscos

A Estrutura de Gerenciamento de Riscos é essencial para a gestão efetiva dos riscos que as empresas enfrentam. Ela engloba o conjunto de processos, políticas, procedimentos, estratégias e ferramentas utilizadas para identificar, avaliar, monitorar e controlar os riscos em todas as áreas da organização.

O objetivo principal de uma Estrutura de Gerenciamento de Riscos é garantir que a empresa esteja preparada para enfrentar riscos inerentes aos seus negócios e maximizar as oportunidades de crescimento e sucesso, por meio de uma abordagem estruturada e consistente.

A estrutura de gerenciamento de riscos deve:

- Ser compatível com a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos

- Ser segregada das áreas operacionais e também segregada da unidade executora da atividade de auditoria interna

- Permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e o gerenciamento contínuo e integrado dos riscos operacional, de liquidez e de crédito

- Prever políticas e estratégias aprovadas e revisadas, no mínimo anualmente, pela diretoria e pelo conselho de administração, se houver, a fim de determinar sua compatibilidade com os objetivos da instituição e com as condições de mercado

- Manter documentação acerca de suas políticas, estratégias de gerenciamento de riscos e governança à disposição do Banco Central do Brasil.

Estrutura Organizacional

A estrutura hierárquica da empresa influencia diretamente a forma como os riscos são gerenciados. A distribuição das responsabilidades e competências entre as diferentes áreas e níveis de gestão é fundamental para garantir que os riscos sejam identificados e controlados de forma adequada.

Pomelo

A Companhia implementa as melhores práticas de Governança Corporativa, convertendo os princípios corporativos em ações efetivas, promovendo o alinhamento e a transparência de propósitos entre as partes interessadas. No que se refere ao Gerenciamento de Riscos, são definidas as responsabilidades a seguir.

Responsabilidades

- Diretoria: Definir estratégia e o apetite ao risco da Companhia; Avaliar os relatórios e indicadores apresentados pela Área de Gestão de Riscos, incluindo, mas não se limitando, aos índices de liquidez e de aderência aos requerimentos mínimos de patrimônio estabelecidos pelo Banco Central e de acordo com a Política Interna; Deliberar quanto a execução das ações mitigadoras e preventivas para adequar os indicadores aos limites aceitáveis de capital e liquidez; Ser responsável pelas informações divulgadas nas políticas e relatórios públicos que evidenciam a estrutura e os controles de gerenciamento de riscos.

- Área de Gestão de Riscos (segunda linha de defesa): disseminar a cultura de gestão de riscos, auxiliar as áreas operacionais na construção de controles efetivos, capturar os informes de ocorrências operacionais; definir, implantar e gerenciar mecanismos de gestão de risco operacional, de crédito e de liquidez; identificar oportunidades de melhorias dos controles, assim como acompanhar suas implantações; reportar à Diretoria (ou Comitê de Riscos) os resultados das análises realizadas;

- Auditoria interna (terceira linha de defesa): avaliar de forma independente a suficiência do sistema de controles Internos, indicar oportunidades de melhoria, acompanhar a implementação dos planos de ação em resposta aos apontamentos, reportar a Diretoria os resultados dos trabalhos realizados;

- Auditoria externa e reguladores: têm uma função independente e objetiva, para avaliar o todo ou parte da primeira, segunda ou terceira linha de defesa;

- Comitê de Riscos: garantir que a alta administração identifique e avalie os principais riscos enfrentados pela organização e estabelecer uma estrutura de gerenciamento de riscos capaz de lidar com esses riscos; supervisionar, juntamente com outros comitês de nível de diretoria ou Conselho, riscos que afetem a estratégia, sejam de natureza financeira, operacional, crédito, liquidez, segurança, tecnologia da informação, legal, regulatória ou reputacional; supervisionar a atribuição de responsabilidades relacionadas a gestão de riscos a cada comitê do conselho da forma mais clara possível e realizar uma análise de lacunas para determinar se a supervisão de quaisquer riscos não é inefetiva; Deliberar e garantir a adequada estrutura de gerenciamento de riscos da Companhia e validar as adequações necessárias para que a gestão de riscos seja efetiva.

- Áreas de negócio (primeira linha de defesa): identificar os riscos dos processos sob suas responsabilidades, executar os controles mapeados, capacitar as equipes para a execução dos controles, reportar ocorrências operacionais para a área de riscos e controles e realizar os ajustes no sistema de controles internos para atender os apontamentos da área de riscos e controles, auditorias interna e externa ou regulador;

Diretrizes

Para garantir que a gestão de riscos seja realizada de forma consistente, efetiva e transparente, alinhada à estratégia e aos objetivos da Pomelo IP, as seguintes diretrizes devem ser aplicadas:

- Transparência e Comunicação: Divulgação clara e objetiva das informações relevantes relacionadas aos riscos identificados e aos controles implementados para gerenciá-los aos stakeholders relevantes, bem como dentro da empresa para garantir que todas as áreas estejam cientes dos riscos e controles implementados.

- Identificação e Avaliação de Riscos: Estabelecer critérios claros para identificação e avaliação dos riscos inerentes aos negócios da empresa, considerando fatores como probabilidade de ocorrência, impacto financeiro, reputacional e regulatório.

- Estabelecimento de Controles: Implementar controles que minimizem a probabilidade e/ou impacto dos riscos identificados. Esses controles devem ser estabelecidos em linha com o apetite da empresa para riscos, objetivos e estratégias de negócio.

- Monitoramento e Revisão: Monitorar de forma contínua os riscos e revisar periodicamente a efetividade dos controles implementados. Essas revisões devem ser realizadas com base em uma abordagem sistemática e utilizando informações relevantes e confiáveis, inclusive pela estrutura de Auditoria Interna que possui uma visão neutra e especializada para avaliar a efetividade dos controles implementados.

- Responsabilidades: Definir as responsabilidades dos diferentes níveis hierárquicos e áreas de negócio em relação à gestão de riscos, garantindo que todas as áreas estejam alinhadas em relação ao tema e que os riscos sejam gerenciados de forma integrada.

- Melhoria Contínua: Promover a cultura de melhoria contínua na gestão de riscos, incentivando a identificação e implementação de melhores práticas e a realização de ações corretivas quando necessário.

Para garantir um programa de gestão de riscos efetivo, é fundamental manter um Inventário de Risco, no qual os riscos de liquidez, operacional e de crédito são identificados, classificados e controlados. Esse inventário deve ser atualizado regularmente e conter informações detalhadas sobre cada risco identificado, incluindo sua probabilidade de ocorrência, impacto potencial, medidas de mitigação existentes ou necessárias, responsáveis pela gestão do risco e prazos para implementação das medidas de controle.

Probabilidade de ocorrência, impacto potencial, medidas de mitigação existentes ou necessárias, responsáveis pela gestão do risco e prazos para implementação das ações mitigadoras e preventivas.

Dessa forma, a empresa poderá gerenciar proativamente seus riscos de crédito e tomar decisões informadas em relação a investimentos em mitigação de riscos e outros recursos necessários para garantir a continuidade de suas operações.

Risco Operacional

A Pomelo IP adota as seguintes diretrizes para gerenciar o risco operacional:

- Identificação, avaliação, mitigação, monitoramento e reporte do risco operacional associado aos processos e sistemas da Companhia que possam afetar a estratégia ou comprometer o cumprimento das normas vigentes;

- Avaliar a base de perdas Documentação e armazenamento das informações relacionadas a perdas associadas ao risco operacional;

- Monitoramento e avaliação dos mecanismos de proteção e segurança para dados armazenados, processados ou transmitidos, assim como de redes, sites, servidores e canais de comunicação para reduzir a vulnerabilidade a ataques;

- Monitoramento, rastreamento e restrição do acesso a dados, redes, sistemas, bancos de dados e módulos de segurança sensíveis;

- Monitoramento de falhas na segurança de dados e reclamações feitas por usuários finais a respeito;

- Revisão dos mecanismos de sigilo de dados e medidas de segurança, especialmente após a ocorrência de falhas e antes de alterações na infraestrutura ou procedimentos;

- Adoção de critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, e avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da Companhia;

- Garantia de que tenha plano de contingência específico para a Companhia, além de outros mecanismos que garantam a continuidade dos serviços de pagamento prestados e que aborde as estratégias a serem adotadas para assegurar que as atividades continuarão sendo executadas e limitar as perdas críticas decorrentes do risco operacional;

- Implementação manutenção e divulgação do processo estruturado de comunicação e informação referente aos riscos da Companhia;

- Elaboração de relatórios (periodicidade mínima anual) que demonstrem a identificação e a correção tempestivas das deficiências de controle e a consequente evolução da gestão de riscos operacionais.

Os eventos de Risco Operacional serão tratados cumprindo o ciclo de identificação, reporte, avaliação, priorização e resposta ao risco. Em resposta ao risco avaliado, baseado na matriz de impacto e probabilidade, são definidos os cenários.

Os planos de ação devem cobrir os aspectos mitigatórios e preventivos. Todos os colaboradores são responsáveis por identificar, avaliar e atuar no plano de ação dos eventos de risco operacional no que tange aos seus processos, e contribuir na sugestão e implantação de melhorias.

Risco de Liquidez

Sobre o gerenciamento do risco de liquidez, a Companhia adota as seguintes diretrizes:

- Identificação, avaliação, monitoramento e controle da exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia;

- Segregação das atividades de gestão do risco de liquidez das áreas executivas da Companhia e da Auditoria, sendo independente no desempenho de sua função;

- Manutenção de um sólido processo para atualizar os níveis de liquidez, contemplando adequadas premissas financeiras e projeções futuras baseados no orçamento e previsões;

- Atualização do fluxo de caixa diariamente, projetando no mínimo para os próximos 180 (cento e oitenta) dias, para determinar os níveis esperados de liquidez;

- Avaliação da exposição ao risco de liquidez em produtos e serviços novos ou em alteração;

- Elaboração de relatórios (periodicidade mínima anual) que demonstrem a identificação e a correção tempestivas das deficiências de controle e a consequente evolução da gestão do risco de liquidez;

- Apresentação de informações referentes à Gestão do Risco de Liquidez aos órgãos competentes da estrutura de governança de gestão de riscos da Companhia para informação, avaliação e recomendação, bem como envolve a Diretoria e o Conselho de Administração no monitoramento e na tomada de decisão referente à gestão da liquidez, alertando-a com antecedência sobre quaisquer possibilidades de queda nos níveis de liquidez que possam impactar no cumprimento dos compromissos e/ou negócios da Companhia;

- Manutenção do Plano de Contingência de Liquidez atualizado e aprovado nas instâncias de governança corporativa competentes e pode ser acionado mediante as regras previamente estabelecidas na norma interna de Gestão de Risco de Liquidez.

Atendendo as exigências regulamentares do Banco Central do Brasil estabelecidas na Resolução BCB nº 80/21, no que se refere a atividade de emissão de moeda eletrônica, a Companhia deverá manter recursos líquidos correspondentes aos saldos de moedas eletrônicas mantidas em contas de pagamento, apurados no fechamento da grade regular de operações dos participantes no Sistema de Transferência de Reservas (STR), acrescidos dos:

- Saldos de moedas eletrônicas em trânsito entre contas de pagamento da Companhia;

- Valores recebidos pela Companhia para crédito em conta de pagamento pré-paga, enquanto não disponibilizados para livre movimentação pelo usuário final titular da conta de pagamento pré-paga.

A Companhia manterá os devidos recursos em conta apartada, assegurando a segregação entre os recursos de terceiros (clientes) e os recursos próprios. Os recursos correspondentes aos saldos de moedas eletrônicas podem ser alocados em:

- Espécie, no Banco Central do Brasil, através de uma Conta Correspondente a Moeda Eletrônica (CCME) de titularidade da Companhia, na forma da regulamentação específica que disciplina a CCME, considerando a posição diária registrada no fechamento da grade regular de operações dos participantes no Sistema de Transferência de Reservas (STR);

- Títulos Públicos Federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic), denominados em reais e adquiridos no mercado secundário e tendo prazo máximo a decorrer de 540 (quinhentos e quarenta) dias até o vencimento. A alocação poderá ser realizada por meio de operações compromissadas (uma das partes contratantes deve ser banco múltiplo, banco comercial ou caixas econômicas habilitados para a realização dessas operações).

Risco de Crédito

Sobre o gerenciamento do risco de crédito, a Companhia adota as seguintes diretrizes:

- Definição e acompanhamento de limites para a realização de operações sujeitas ao risco de crédito;

- Identificação, avaliação, monitoramento e controle da exposição ao risco de crédito;

- Avaliação do risco de crédito da carteira de aplicações financeiras;

- Definição de procedimentos para a recuperação de créditos;

- Definição de critérios e procedimentos de análise do risco de crédito na emissão de instrumento de pagamento pós-pago.

Requerimentos Mínimos de Patrimônio

Conforme determina a Circular n.º 3.681/13 do Banco Central do Brasil, as instituições de pagamento emissoras de moeda eletrônica e de conta de pagamento pós paga (cartão de crédito) devem manter, permanentemente, patrimônio líquido ajustado pelas contas de resultado correspondente a, no mínimo, o maior valor entre 2% (dois por cento) da média mensal das transações de pagamento executadas pela instituição nos últimos 12 (doze) meses ou do saldo das moedas eletrônicas por elas emitidas, apurado diariamente.

A partir de 01/07/2023, conforme determinado pela Resolução BCB 198/22, as instituições de pagamento não integrantes de conglomerado prudencial deverão adotar nova metodologia de requerimento mínimo de patrimônio, considerando os ativos ponderados pelo risco da instituição.

A Companhia deve conhecer seus principais eventos de riscos que impactem de forma significativa seus ativos, serviços, processos, produtos e pessoas. Os impactos devem ser estimados e mensurados e as ações de mitigação e prevenção consideradas e aplicadas, quando necessário.

Os requerimentos mínimos de capital são acompanhados mensalmente, para que a posição de capital se mantenha compatível com a exposição ao risco decorrente das características das suas operações e das condições de mercado.

Armazenamento das Informações

A Área de Gestão de Riscos é responsável pela documentação e pelo armazenamento de informações relacionadas às perdas associadas ao risco operacional, zelando por sua segurança e sigilo, seguindo os preceitos legais e regulamentares.

Disposições Finais

Todos os colaboradores da Companhia, independentemente da função e cargos exercidos, devem ter conhecimento sobre os riscos aos quais os processos que interagem no dia a dia estão expostos e as melhores formas de mitigá-los.

Esta Política entra em vigor na data de sua publicação e deve ser atualizada anualmente.

Legislação e Regulamentação

- Circular n.º 3.681/13: Dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento;

- Resolução BCB nº 25/20: Altera a Circular nº 3.681, que dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento, e dá outras providências;

- Resolução BCB nº 80/21: Disciplina a constituição e o funcionamento das instituições de pagamento, estabelece os parâmetros para ingressar com pedidos de autorização de funcionamento por parte dessas instituições e dispõe sobre a prestação de serviços de pagamento por outras instituições autorizadas a funcionar pelo Banco Central do Brasil;

- Resolução BCB nº 198/22: Dispõe sobre o requerimento mínimo de Patrimônio de Referência de Instituição de Pagamento (PRIP) de conglomerado do Tipo 2, nos termos da Resolução BCB nº 197, e de instituição de pagamento não integrante de conglomerado prudencial, e sobre a metodologia de apuração desses requerimentos e a respectiva estrutura de gerenciamento contínuo de riscos;

- Resolução BCB n° 260/22: Dispõe sobre os sistemas de controles internos das instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

Lance seus próprios cartões em questão de semanas

Vamos conversar!