Acessar Gateway
Políticas de Gerenciamento de Risco e Compliance
Políticas de Gerenciamento de Risco e
Compliance
00
GCC – Gerência de Controle e
Compliance
Compliance
Aura
Circular BACEN Nº 3.681/2013
Resolução CMN Nº 2.554/1998
Resolução CMN Nº 3.694/2009
Resolução CMN Nº 3.919/2010
Resolução CMN Nº 3.339/2006
1. Objetivos
Esta Política de Gerenciamento de Riscos Operacionais e de Liquidez (“Política”) tem o
objetivo de estabelecer as diretrizes gerais, critérios e procedimentos adotados para o
gerenciamento dos riscos operacionais e de liquidez, a governança, a salvaguarda dos
recursos mantidos em contas de pagamento, a fim de possibilitar a identificação, avaliação,
monitoramento, tratamento, comunicação dos riscos operacionais e de liquidez da AURA
PRODUTOS E SERVICOS DIGITAIS LTDA.
“Aura”, em atendimento à regulamentação do Bacen e às melhores práticas.
2. Abrangência
A Política se aplica a todos os administradores (coletivamente “Alta Administração”),
funcionários e prestadores de serviço da Aura (coletivamente, inclusive a Alta
Administração, denominados simplesmente por, “Colaboradores”).
O gerenciamento de riscos é inerente à atividade da Aura e, portanto, é dever de todos o
cumprimento desta Política. Cabe à Alta Administração, ou à área por ela determinada, a
divulgação e implementação de suas medidas e procedimentos.
3. Políticas e Práticas
– Circular BACEN Nº 3.681/2013: Dispõe sobre o gerenciamento de riscos, os requerimentos
mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor
e da liquidez dos saldos em contas de pagamento.
– Resolução CMN Nº 2.554/1998: Dispõe sobre a implantação e implementação de sistema
de controles internos.
– Resolução CMN Nº 3.694/2009: Dispõe sobre a prevenção de riscos na contratação de
operações e na prestação de serviços de pagamento aos usuários finais.
– Resolução CMN Nº 3.919/2010: Altera e consolida as normas sobre cobrança de tarifas
pela prestação de serviços de pagamento aos usuários finais, inclusive para efeitos de
remuneração.
– Resolução CMN Nº 3.339/2006: Altera e consolida as normas que disciplinam as operações
compromissadas envolvendo títulos de renda fixa.
4. Definições
– Bacen: Banco Central do Brasil.
– Conta de Pagamento: conta de titularidade do Usuário, destinada ao carregamento,
transferência e resgate de recursos, cujos valores, convertidos em moeda eletrônica,
serão geridos e custodiados pela Aura.
– Instituição de Pagamento: para fins desta Política, é a Aura como emissora de moeda
eletrônica, cuja atividade consiste em gerenciar a Conta de Pagamento de Usuários,
utilizada para o pagamento de transações pré-pagas.
– Risco: possibilidade de materialização de evento que resulte em impactos negativos à
operação dos negócios da Aura.
– Risco Operacional: possibilidade de ocorrência de perdas resultantes de falhas,
deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos
externos. A abrangência dessa definição inclui também o risco legal associado à
inadequação ou deficiência em contratos firmados, além de sanções que possam ser
impostas em razão do descumprimento de dispositivos legais e indenizações por danos a
terceiros.
– Risco de Liquidez: potencialidade de descasamento de fluxos financeiros de ativos e
passivos, bem como de seus reflexos sobre a capacidade financeira da Aura em obter
recursos e honrar suas obrigações.
– Sistema de Pagamentos: serviços relacionados à abertura de Conta de Pagamento e
realização de Transações de carregamento, transferência e resgate de recursos pelo
Usuário, incluindo a disponibilização de informações sobre a movimentação e
fornecimento de extratos.
– Transação: operação em que o Usuário realiza a movimentação de sua Conta de
Pagamento, realizando o carregamento de recursos, a transferência de recursos para a
Conta de Pagamento de titularidade de outros usuários, ou o resgate de recursos para a
conta bancária do Usuário ou de terceiro por ele indicado.
– Usuário: pessoa física ou jurídica, titular da Conta de Pagamento que, ao aderir ao
termo de abertura de Conta de Pagamento, está habilitada a realizar Transações por
meio do Sistema de Pagamentos.
– Matriz de Risco: diretriz para a avaliação qualitativa e/ou quantitativa do efeito dos
riscos nos objetivos estratégicos da Aura.
– Risk Appetite Statements (“RAS”): trata-se do Apetite de Tolerância ao Risco, definido
como o nível de variação aceitável quanto à realização de um determinado objetivo.
– Plano de Resposta aos Riscos: conjunto de medidas adotadas para diminuir o risco
inerente a um nível que esteja em consonância com a Tolerância ao Risco da Aura.
– Incidente: trata-se da materialização do risco.
5.Gerenciamento de Risco
5.1. Estrutura de Gerenciamento de Riscos
Para assegurar a efetividade desta Política, a Estrutura de Gerenciamento de Riscos
(“Estrutura de Riscos”) prevê uma atuação compartilhada para a gestão de cada risco.
Todos os Colaboradores que desempenham atividades correlatas aos riscos objeto desta Política
têm o dever de zelar pela conformidade dos processos de gerenciamento de riscos.
A Estrutura de Gerenciamento de Riscos deverá prever políticas e estratégias
aprovadas e revisadas, anualmente, pela diretoria e/ou pela alta administração, para
determinar sua compatibilidade com os objetivos da Aura e com as condições de mercado;
e deverá manter esta documentação acerca das políticas, estratégias de gerenciamento de
riscos e governança à disposição do Bacen, com critérios de decisão quanto à terceirização
de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas
necessárias para mitigar o risco operacional, e a continuidade dos serviços de pagamento
prestados.
A Estrutura de Riscos tem como principais diretrizes três linhas de defesa:
– PRIMEIRA LINHA DE DEFESA: composta pela Alta Direção e pelos gestores que
gerenciam e implementam as ações para monitoramento e mitigação dos riscos
associados aos processos sob sua responsabilidade.
– SEGUNDA LINHA DE DEFESA: composta pelas áreas ou pessoas responsáveis por
Compliance, Controles Internos e Gestão de Riscos, conforme o caso, responsáveis
pela definição dos métodos para identificação, avaliação e monitoramento do grau de
exposição a riscos operacionais e de liquidez.
– TERCEIRA LINHA DE DEFESA: composta pelas áreas ou pessoas responsáveis pelas
atividades que provêm verificação e avaliação independente e periódica da eficácia
dos processos e procedimentos estabelecidos para controle e gestão dos riscos,
incluindo grau de exposição e adequação da estrutura do sistema de controles
internos da Aura.
5.2. Responsabilidades
Cabe à Alta Administração:
– Aprovar e revisar, anualmente, a Política de Gerenciamento de Riscos;
– Aprovar os planejamentos estratégicos de risco, a Matriz de Riscos, os limites de Tolerância
ao Risco, Plano de Respostas aos Riscos e políticas de continuidade de negócios;
– Assegurar o cumprimento desta política;
– Nomear o Diretor de Riscos (CRO).
Cabe ao Diretor de Riscos:
– Definir objetivos e elaborar políticas e procedimentos relacionados ao planejamento
estratégicos de risco, Matriz de Riscos, limites de Tolerância ao Risco, Plano de Respostas
aos Riscos e políticas de continuidade de negócios;
– Monitora o grau de aderência dos processos da estrutura de gerenciamento de riscos às
políticas;
– Informar periodicamente à Alta Administração sobre as políticas, procedimentos e eventos
objetos desta Política;
– Assegurar o cumprimento desta Política.
5.3. Estratégias
A Estrutura de Riscos desempenhará as suas atividades com a finalidade de assegurar a
concretização das seguintes reponsabilidades:
– Identificação de Eventos: os eventos internos e externos que influenciam o Risco
Operacional são identificados e classificados entre riscos e oportunidades. Essas
oportunidades são canalizadas para os processos de estabelecimento de estratégias da
administração ou de seus objetivos;
– Avaliação de Riscos: os Riscos são analisados considerando a probabilidade e a
consequência para determinar o modo pelo qual deverão ser administrados;
– Avaliação das Atividades de Controle: são as atividades de controles existentes nos
processos, tendo em vista que um efetivo sistema de controles internos reduz a
probabilidade de erros humanos e irregularidades em processos e sistemas, resultando na
diminuição das perdas operacionais;
– Resposta a Risco e Mitigação: diante do risco, a Aura estabelece a resposta a ele, que inclui
evitar, reduzir, compartilhar ou aceitar os riscos de acordo com a avaliação do efeito, custos
e benefícios. São desenvolvidas ações para manter o alinhamento do RAS;
– Monitoramento e Comunicação: o monitoramento é realizado por meio de atividades
gerenciais contínuas e/ou de avaliações independentes. Todo o resultado desta gestão é
reportado à Alta Administração por meio de relatórios que sinalizam os aspectos
qualitativos e quantitativos da exposição a risco operacional da Aura.
– Aplicação adequada de recursos: a Aura deve garantir os recursos humanos e técnicos
para a implementação dos objetivos e responsabilidades da Estrutura de Riscos.
A aplicação desses recursos inclui equipe qualificada e sistemas de segurança, controle e
monitoramento de dados.
6. Risco Operacional
6.1. Escopo
Consideram-se eventos de Risco Operacional:
– Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais
dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar
transações de pagamento;
– Falhas na identificação e autenticação do usuário final;
– Falhas na autorização das transações de pagamento;
– Fraudes internas;
– Fraudes externas;
– Demandas trabalhistas e segurança deficiente do local de trabalho;
– Práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;
– Danos a ativos físicos próprios ou em uso pela Aura;
– Ocorrências que acarretem a interrupção das atividades da Aura de pagamento ou a
descontinuidade dos serviços de pagamento prestados.
– Falhas em sistemas, processos ou infraestrutura de tecnologia da informação;
– Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas
em arranjos de pagamento.
6.2. Prevenção, identificação e tratamento de Riscos Operacionais
Para a prevenção, identificação e tratamento de Riscos Operacionais, a Aura adotará:
– Plano de contingência e outros mecanismos que garantam a continuidade dos serviços de
pagamento prestados;
– Mecanismos de proteção e segurança dos dados armazenados, processados ou
transmitidos;
– Mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de
comunicação com vistas a reduzir a vulnerabilidade a ataques;
– Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes,
sistemas, bases de dados e módulos de segurança;
– Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a
esse respeito;
– Revisão das medidas de segurança e de sigilo de dados, especialmente depois da
ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;
– Elaboração de relatórios que indiquem procedimentos para correção de falhas
identificadas;
– Realização de testes que assegurem a robustez e a efetividade das medidas de segurança
de dados adotadas;
– Segregação de funções nos ambientes de tecnologia da informação destinados ao
desenvolvimento, teste e produção;
– Identificação adequada do usuário final;
– Mecanismos de autenticação dos usuários finais e de autorização das transações de
pagamento;
– Processos para assegurar que todas as transações de pagamento possam ser
adequadamente rastreadas;
– Mecanismos de monitoramento e de autorização das transações de pagamento, com o
objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma
tempestiva;
– Avaliações e filtros específicos para identificar transações consideradas de alto risco;
– Notificação ao usuário final acerca de eventual não execução de uma transação;
– Mecanismos que permitam ao usuário final verificar se a transação foi executada
corretamente;
– Critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores;
– Avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços
terceirizados relevantes para o funcionamento regular da instituição de pagamento.
– Nos casos de prestação de serviços terceirizados, a Aura deverá estipular em contrato
que o contratado deverá: (a) atender ao disposto nesta Política; e (b) permitir o acesso da
Aura aos dados e às informações sobre os serviços prestados.
7. Risco de Liquidez
6.2. Prevenção, identificação e tratamento de Riscos Operacionais
Consideram-se eventos de Risco de Liquidez:
– A incapacidade de honrar, eficientemente, as obrigações esperadas e inesperadas,
correntes e futuras, sem que sejam afetadas as operações diárias da Aura e sem incorrer
em perdas significativas;
– A incapacidade de converter moeda eletrônica em moeda física ou escritural no momento
da solicitação do usuário.
O Risco de Liquidez pode ser classificado como:
– Risco de descasamento: a possibilidade de que as diferenças entre as estruturas de
vencimentos dos ativos e os passivos gerem um descasamento no caixa. Isto levaria a
incapacidade de honrar seus pagamentos e, pela natureza do negócio, esse risco está
relacionado principalmente à incapacidade de honrar os recursos utilizados pelos clientes.
– Risco de Financiamento: a possibilidade de que a Aura seja incapaz de cumprir suas
obrigações decorrentes da incapacidade de vender ativos ou financiar-se;
– Risco de Contingência: a possibilidade de não dispor de opções adequadas para a obtenção
de liquidez como consequência de um evento externo que implique maiores necessidade de
financiamento.
7.2. Prevenção, identificação e tratamento de Riscos de Liquidez
Para a prevenção, identificação e tratamento de Riscos Operacionais, a Aura:
– Definirá as diretrizes serem observadas na concepção e manutenção das atividades sob a gestão da área de Riscos;
– Definirá critérios e instruções para a efetiva gestão da liquidez dos arranjos de pagamentos
instituídos pela Aura;
– Definirá modelo de liquidez com parâmetros de criticidade.
A Estrutura de Gerenciamento de Riscos também deverá prever, quanto aos Riscos de
Liquidez: (a) processos para identificar, avaliar, monitorar e controlar a exposição ao risco
de liquidez em diferentes horizontes de tempo, inclusive intradia; e (b) plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez.
A Aura compromete-se a manter permanentemente
patrimônio líquido ajustado pelas contas de resultado correspondente a, no mínimo, o
maior valor entre 2% (dois por cento) da média mensal das transações de pagamento
executadas pela Aura nos últimos 12 (doze) meses ou do saldo das moedas eletrônicas por
elas emitidas, apurado diariamente.
Além da manutenção dos requerimentos mínimos de patrimônio, a Aura compromete-se a
não realizar aquisições de ativos imobilizados que reduzam a liquidez a montante inferior ao
patrimônio líquido ajustado necessário para o cumprimento de suas atividades e desta
Política.
8.Matriz de Classificação de Transações de Risco
Todo problema identificado por meio dos instrumentos descritos nas etapas anteriores
exige análise e definição de planos de ação, visando à melhoria dos processos e manutenção
dos níveis de risco dentro dos patamares de exposição aceitáveis de acordo com RAS definido pela Aura.
– Definição do RAS: o RAS será definido e aprovado de acordo com as responsabilidades da
Estrutura de Risco. O procedimento interno da Aura irá descrever o processo relativo à
construção e monitoramento do limite de risco operacional.
– Mapeamento dos riscos e controles das atividades: a Aura determinará sua Matriz de
Riscos, com o objetivo de identificar os riscos associados aos processos/atividades,
classificando-os quanto à probabilidade e ao impacto, suas consequências e controles
utilizados.
A sua aplicação tem o objetivo de fornecer uma visão integral do fluxo do
processo, suas dependências e interações.
9.Monitoramento de Riscos
Aos Diretores de Compliance, de Riscos e de Auditoria Interna, se o caso, competem a
função de monitorar os processos e informar a Alta Direção sobre riscos e ocorrências de falhas nos processos interno.
Faz parte do processo de monitoramento a condução de testes de verificação e revisão,
quanto ao cumprimento das políticas, procedimentos e conformidades. Todos os
sistemas, processos, operações, funções e atividades dentro da Aura estão sujeitos a
futuras revisões.
10. Gestão de Contingências e de Continuidade de Negócios
A fim de se garantir os objetivos desta Política, a Aura deve elaborar políticas a
procedimentos específicos para o tratamento de contingências gestão de continuidade
de negócios, observando-se as seguintes diretrizes:
– A efetividade da implementação do plano, políticas e procedimentos para a gestão de
contingência e de continuidade de negócios, seguindo as atribuições e responsabilidades da
Estrutura de Riscos;
– O tratamento adequado para o gerenciamento de crise, da continuidade operacional e
recuperação de desastres;
– A garantia de recursos, humanos e materiais, para a implementação do plano, políticas e
procedimentos para a gestão da continuidade de negócios;
– A estabilidade organizacional em nível adequado durante a recuperação, após a
indisponibilidade de processos e serviços críticos;
– A resposta adequada, coordenada e tempestiva em situações de crise;
– Assegurar a validação dos ambientes e procedimentos de contingência por meio de teste
periódicos.
11. Procedimentos de Correção de Falhas
Os procedimentos de correção de falhas deverão abordar:
– Identificação de Perdas Operacionais: a apuração da perda decorrente de Incidente
constitui fator importante para o cumprimento das exigências dos órgãos reguladores além
de prover a Aura com informações consistentes, padronizadas e atualizadas, decisivas para
uma análise quantitativa do gerenciamento do risco na Aura.
– Avaliação da Qualidade dos Controles: a avaliação dos controles tem como objetivo avaliar
a efetividade/eficiência dos controles, a fim de verificar se estes estão sendo executados
conforme descritos nas matrizes de risco e políticas internas.
– Plano de Treinamento: o plano de treinamento tem como objetivo, por meio de
simulações de Incidentes e avaliação de Incidentes ocorridos, tem o objetivo de garantir que
os Colaboradores estejam preparados para lidar com Incidentes e aptos a identificar
situações de riscos e vulnerabilidades.
12. Da Aplicação dos Recursos Mantidos em Contas de Pagamento
A Aura deverá manter recursos líquidos correspondentes aos saldos de moedas
eletrônicas mantidas em contas de pagamento, acrescidos dos saldos de moedas
eletrônicas em trânsito entre contas de pagamento na mesma instituição; e valores
recebidos pela instituição para crédito em conta de pagamento, enquanto não
disponibilizados para livre movimentação pelo usuário final da conta de pagamento
destinatária.
Quando a Aura possuir acesso ao Sistema de Transferência de Reservas (STR) do
Bacen, até o encerramento do horário estabelecido para o funcionamento do STR, os
recursos apurados deverão ser alocados em espécie, mediante transferência a crédito em
conta específica no Bacen; ou títulos públicos federais, registrados no Sistema Especial de
Liquidação e de Custódia (Selic), inclusive por meio das operações compromissadas.
Quando a Aura não possuir acesso ao Sistema de Transferência de Reservas
(STR) do Bacen, os recursos apurados deverão ser custodiados em conta corrente, em nome
da Aura, em banco de primeira linha, segregada de seus recursos próprios; ou títulos
públicos federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic),
inclusive por meio das operações compromissadas.
A Aura deverá seguir as regras do Bacen que dispõem sobre custódia e aplicação de
recursos mantidos em conta de pagamento.
13. Disposições Finais
O cumprimento desta Política é dever de todos os Colaboradores. Além disso, esta Política contém o modelo do Termo de Adesão à Política de Gerenciamento de Riscos e Termo de Adesão às Alterações da Política de Gerenciamento de Riscos, que deverão ser assinados por todos os Colaboradores que tenham, de algum modo, sua atividade vinculada às práticas e procedimentos estabelecidos nesta Política.
Esta Política será aprovada pela Diretoria e pela Alta Administração da Aura, e adequadamente documentada e submetida a revisões periódicas, com a documentação mantida à disposição do Bacen.
Lucre junto aos melhores do Mercado Digital na AuraPay
Lojista, maximize suas vendas com a plataforma mais avançada de conversão, automação e pagamentos. Não precisa continuar procurando, você achou! Basta criar sua conta.
AURA SERVIÇOS DE PAGAMENTOS
CNPJ:44.367.636/0001-41
Fale Conosco:
- contato@aurapayments.com
© Copyright 2024・Aura Pay・Todos os direitos reservados.