Gestão de Riscos

O gerenciamento de riscos é parte integrante das atividades da CAIXA Cartões e é percebido como fator diferencial competitivo e principal meio para preservação da solvência, liquidez e rentabilidade da Companhia.

A estrutura de gerenciamento de riscos da CAIXA Cartões é segregada das demais unidades da Companhia e está em conformidade com a regulação vigente, adequada à natureza e à complexidade dos seus negócios e às boas práticas de governança corporativa.

A Companhia adota o modelo de três linhas de defesa no gerenciamento de riscos. A primeira linha de defesa identifica, avalia e controla os riscos, sendo composta pelos controles operacionais e internos. Os gestores que detêm os riscos do negócio são responsáveis por gerenciá-los e por implementar medidas corretivas nos processos e nos controles deficientes. A segunda linha de defesa compreende as áreas de gerenciamento de riscos, controles internos e compliance da Companhia, que são responsáveis por monitorar e contribuir com a implementação de práticas eficazes de gestão de riscos. A função de monitoramento do Risco de Compliance também é de responsabilidade da segunda linha de defesa. A terceira linha de defesa é exercida pela auditoria interna, responsável por fornecer aos órgãos de governança da Companhia a avaliação objetiva e independente quanto à eficácia dos controles internos, da gestão de riscos e da governança. As fragilidades identificadas pela 2ª e/ou 3ª Linha de Defesa podem gerar planos de ação para que as áreas responsáveis implementem controles/mitigadores.

A Caixa Cartões realiza ações de disseminação e manutenção da cultura de riscos, segurança da informação, controles internos, compliance e integridade, promovendo o comprometimento dos colaboradores com a gestão adequada dos riscos dentro de seu escopo de atuação.

A Companhia possui Política de Gerenciamento de Riscos e Segurança da Informação e Declaração de Apetite por Riscos – Risk Appetite Statement (RAS) próprias, adequadas às suas necessidades.

Visando mantê-las adequadas à natureza, complexidade, dimensão das exposições a riscos e compatível com os objetivos estratégicos, tanto a Política quanto a RAS, são revisadas no mínimo anualmente e classificam os riscos aos quais a Companhia está sujeita, bem como definem os limites máximos de risco que está disposta a tomar, em cada um dos riscos que compõem os quatro grupos:

  • Riscos Estratégicos: é composto pelos riscos de contágio, de estratégia, de imagem ou reputação e socioambiental;
  • Riscos Financeiros: é composto pelos riscos de capital, de crédito, de liquidez e de mercado;
  • Riscos Operacionais: é formado pelo próprio risco operacional e pelo risco cibernético;
  • Riscos Regulatórios: é composto pelos riscos de compliance e legal ou jurídico.
a. Quanto aos Riscos Estratégicos, são diretrizes aplicadas em seu gerenciamento:
  • Buscar obtenção de lucro que seja compatível com a abrangência, perfil de risco e complexidade dos negócios, levando em conta os aspectos econômico, social e ambiental;
  • Monitorar os investimentos e participações de forma a assegurar retorno do capital investido e mitigar o risco de contágio;
  • Monitorar os eventos que ameaçam o valor da marca e credibilidade junto aos stakeholders;
  • Buscar atribuição de relevância dos produtos e serviços da CAIXA Cartões na avaliação de desempenho CAIXA, proporcional ao resultado;
  • Todos os negócios devem ser realizados a custos e condições compatíveis com os praticados no mercado, inclusive aqueles realizados com a Controladora CAIXA, dentre os quais se inclui a utilização do Balcão CAIXA;
  • Identificar tendências e disrupturas que possam fomentar a vantagem competitiva, melhorar o posicionamento de mercado e o desempenho de longo prazo da Companhia;
  • Buscar minimizar ou neutralizar os impactos socioambientais negativos de eventos que tenham relação com os processos da Companhia.
b. Quanto aos Riscos Financeiros, são diretrizes aplicadas em seu gerenciamento:
  • Priorizar a geração de capital por meio do lucro advindo das suas operações;
  • Decidir, de forma a assegurar o capital necessário, mantendo a atuação de acordo com a estratégia, complexidade e com o perfil de risco;
  • Implementar governança, processos, modelos, tecnologia e avaliações de cenários que subsidiem a efetiva gestão dos riscos financeiros, em especial de mercado e de capital.
c. Quanto aos Riscos Operacionais, são diretrizes aplicadas em seu gerenciamento:
  • Realizar a identificação, tratamento e controle dos eventos de riscos operacionais relacionados a pessoas, processos, sistemas e eventos externos que possam afetar substancialmente os resultados;
  • Estabelecer planos de contingência para os negócios críticos, mitigando prejuízos financeiros, operacionais e de imagem;
  • Identificar todos que fazem parte da Companhia como gestores de riscos e evidenciar seus papéis e responsabilidades nas linhas de defesa;
  • Classificar, guardar e permitir acesso às informações de acordo com o nível de sigilo estabelecido e com as normas vigentes;
  • Buscar eliminar estímulos ao conflito de interesse em todos os processos e nas tomadas de decisão;
  • Buscar inovação, automação, inteligência e melhores práticas de mercado com foco na mitigação de riscos cibernéticos, obsolescência dos processos e na redução de custos operacionais, visando o fortalecimento dos negócios e manutenção de boa reputação perante os stakeholders.
d. Quanto aos Riscos Regulatórios, são diretrizes aplicadas em seu gerenciamento:
  • Não admitir descumprimento de normas internas ou externas;
  • Não aceitar nem tolerar qualquer prática de atos de corrupção, atuando na prevenção e no combate destes;
  • Contratar fornecedores observando elevado padrão de transparência, integridade, legalidade e assegurar que tenham ciência do código de ética e do canal de denúncias;
  • Privilegiar tomada de decisões de forma colegiada, por meio de Comitês, Comissões e Conselhos, respeitados os limites de alçada.

A Companhia possui Metodologia de Gerenciamento de Riscos (MGR) desenvolvida com base nas melhores práticas de mercado e aprovada pelo Conselho de Administração. A MGR é aplicada aos processos da Companhia e consiste em um ciclo de dimensões complementares, composta por procedimentos de identificação, avaliação, mitigação, monitoramento e reporte dos riscos.

A CAIXA Cartões possui Programa de Gestão de Crise e de Continuidade de Negócios, visando garantir, por meio dos planos estabelecidos, que os processos críticos da Companhia, se interrompidos, mantenham um nível de funcionamento adequado até o retorno à situação normal.

Todos os processos da Companhia são avaliados e classificados quanto à criticidade para a continuidade dos negócios, sendo os principais impactos considerados:

  • Imagem e Reputação: decorre da possibilidade de perda de credibilidade da instituição junto à Sociedade, podendo levar à perda de participação no mercado, à redução da rentabilidade ou à queda no valor da Companhia;
  • Financeiro: decorre das possibilidades de perdas por não conseguir honrar passivos nos seus respectivos vencimentos, com possibilidade de sanções em virtude de descumprimento de dispositivos legais, regulamentares ou de indenizações por danos à terceiros;
  • Regulamentar: decorre da possibilidade de perdas devido a sanções em virtude do descumprimento de dispositivos legais ou regulamentares que exijam a ininterrupção do processo, preceituando a sua continuidade;
  • Interdependência: correlação ou dependência do processo com agentes internos e externos;
  • Tecnologia da Informação e Comunicação: decorre da possibilidade de perdas resultantes do não fornecimento adequado de infraestrutura (tecnologia da informação e comunicação).

A classificação é distribuída em 4 (quatro) possíveis grupos:

  • D0: Processo altamente crítico que, se for interrompido, deve ser retomado no mesmo dia;
  • D1: Processo altamente crítico que, se for interrompido, deve ser retomado em até um dia útil;
  • D5: Processo crítico, que pode ser interrompido por no máximo cinco dias úteis;
  • D21: Processo não crítico, que pode ser interrompido por até um mês (21 dias úteis), sem causar dano irreparável.

Por meio do Programa de Continuidade de Negócios, as atividades críticas da Companhia foram mapeadas e foram elaborados planos de continuidade de negócios, sendo os mesmos submetidos a testes e avaliação de efetividade, visando a continuidade das atividades críticas da companhia em caso de interrupção.

A segurança da informação e as diretrizes de proteção de dados pessoais, contidas na Lei nº 13.709/20218 – Lei Geral de Proteção de Dados Pessoais (LGPD), são parte da Política de Gestão de Riscos e Segurança da Informação da Caixa Cartões Holding S.A.

Com a vigência da referida Lei iniciou-se o programa de adequação da CAIXA Cartões à LGPD, buscando adequar a Companhia aos seus preceitos legais, bem como garantir os direitos dos titulares de dados pessoais porventura tratados nos processos da Companhia.

O Programa de Adequação da CAIXA Cartões é atualmente composto por duas fases, sendo que a primeira foi elaborada e posta em prática contando com a participação de todas as unidades da Companhia, sendo executadas as seguintes atividades:

  • Realização de reuniões com os representantes e colaboradores de cada unidade da Companhia, fornecendo subsídios e apoio metodológico;
  • Disseminação de orientações específicas;
  • Divulgação de eventos e de materiais de apoio;
  • Discussões e esclarecimentos conceituais e práticos;
  • Acompanhamento constante do andamento das ações.

A Fase I, composta pelas etapas de diagnóstico, levantamento de gaps e elaboração de planos de ações para adequação da CAIXA Cartões à LGPD, foi concluída.

O Programa encontra-se na Fase 2 de Implementação, composta pelo estabelecimento do canal de comunicação, definição do Encarregado de Dados (DPO), interlocução com a Controladora para definição de ações relacionadas aos sistemas compartilhados, aculturamento, monitoramento das medidas de controle e definição das jornadas do titular e do encarregado de dados.

Tais ações visam garantir conformidade da CAIXA Cartões com a LGPD e demonstrar o comprometimento desta Companhia com os temas afetos à privacidade e proteção de dados pessoais.

As informações sobre gerenciamento de riscos, controles internos e compliance são geradas periodicamente e reportadas à Alta Administração, possibilitando avaliação dos dirigentes sobre os impactos na companhia bem como adoção de ações tempestivas, visando manutenção dos limites de exposição à riscos em patamares aceitos.

Powered by MZ