1.    OBJETIVO

Este documento tem por finalidade, formalizar as diretrizes da Política de Gerenciamento de Riscos (“Política”) da WisePay, visando descrever a estrutura estabelecida e formalizada através de regras, princípios e diretrizes que visam garantir a continuidade de suas operações, por meio da adoção de atos de identificação, avaliação, controle e monitoramento de riscos operacionais, de crédito e liquidez, de acordo com suas características e potencial de impacto sobre o negócio.

Esta Política determina tais diretrizes, regras e princípios em consonância com a complexidade de suas operações, nível de exposição a riscos, perfis de riscos, volumetrias etc., atuando em conformidade com a legislação e regulação vigentes de forma eficaz. 

2.    BASE LEGAL E REGULATÓRIA

Este Regulamento cumpre fielmente a legislação concernente e as disposições do Banco Central do

Brasil (“BCB”) e Conselho Monetário Nacional (“CMN”), em especial:

• Resolução BCB n.º 198, de 11 de março de 2022, dispõe sobre o requerimento mínimo de Patrimônio de Referência de Instituição de Pagamento (PRIP) de conglomerado do Tipo 2, nos termos da Resolução BCB nº 197, de 11 de março de 2022, e de instituição de pagamento não integrante de conglomerado prudencial, e sobre a metodologia de apuração desses requerimentos e a respectiva estrutura de gerenciamento contínuo de riscos.

3.    DESTINATÁRIOS

As disposições deste Regulamento devidamente aprovadas pela Alta Administração, aplicam-se indistintamente a todos sócios, Diretores, Colaboradores, prestadores de serviços e quaisquer demais pessoas físicas ou jurídicas contratadas ou outras entidades que participem, de forma direta ou indireta, das atividades diárias e negócios da Auditoria Interna da WisePay (“Destinatários”).

4.    DEFINIÇÕES

1. Diretores: Os diretores da WisePay, indicados no Contrato Social. 
   
   
2. Risco Operacional: Possibilidade da ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas. 
   
   
3. Risco de Liquidez: Possibilidade de não ser capaz de honrar eficientemente com suas obrigações esperadas e inesperadas, correntes e futuras, sem afetar suas operações diárias e sem incorrer em perdas significativas; 
   
   
4. Risco de Crédito: Possibilidade de perdas associadas ao não cumprimento pela outra parte de suas respectivas obrigações financeiras conforme pactuado e à redução de ganhos ou remunerações.

5.    DIRETRIZES

A estrutura adotada pela WisePay para a realização do gerenciamento de riscos visa definir estratégias para a identificação, mensuração, monitoramento, controle e mitigação, de forma a garantir um gerenciamento contínuo que esteja em consonância com os riscos relacionados à complexidade de sua operação e com a dimensão da exposição aos riscos pela WisePay. Esta estrutura, que se encontra segregada da estrutura de Auditoria Interna, é capaz de identificar, mensurar, classificar, monitorar, controlar, mitigar e gerenciar continuamente o gerenciamento dos riscos de forma integrada. 

 Estas estratégias buscam evitar, prioritariamente, potenciais impactos materiais em relação à operação, bem como assegurar os cenários prospectivos do negócio, no que se refere à garantia de crédito e liquidez da WisePay respeitando-se os requisitos regulatórios aplicáveis e as melhores práticas de mercado. 

A estrutura de gerenciamento de riscos da WisePay é praticada por todos os Destinatários, sendo amplamente incentivada pelo Responsável pelo Gerenciamento de Riscos que supervisiona e implementa as estratégias definidas nesta Política, além de estar em conformidade com a Política de Governança da Instituição.

Nesse sentido, destacamos que como estratégia para o gerenciamento de riscos, a WisePay adotou o modelo de Três Linhas de Defesa.

1ª Linha de Defesa  

Reflete as áreas comerciais e operacionais da WisePay, que são responsáveis pelas atividades que possuem riscos de impacto material no negócio, e que, por consequência, possuem a responsabilidade de adotar os tratamentos e controles necessários, conforme definido nesta Política.
 

2ª Linha de Defesa  

Reflete as áreas com funções de controle (Compliance), que são responsáveis por propor políticas, desenvolver modelos e metodologias, fornece suporte consultivo especializado e avaliar e supervisionar se os tratamentos e controles estão sendo aplicados pela 1ª Linha de Defesa em conformidade com as diretrizes da WisePay, bem como conforme orientado internamente pelas áreas responsáveis.

3ª Linha de Defesa  

Reflete a área de auditoria interna, a qual possui como responsabilidade, de forma totalmente independente, a avaliação periódica, analisando se as políticas, métodos e procedimentos são adequados e se estão sendo efetivamente aderidos por todas as áreas da WisePay, além de verificar a sua efetiva implementação.

6.    PRINCÍPIOS E REGRAS

Os riscos monitorados ativamente pela WisePay incluem os riscos operacionais, de crédito e de liquidez. Ressaltamos que cada um dos riscos descritos a seguir possuem metodologias, sistemas e processos próprios para sua identificação, avaliação, monitoramento, reporte, controle e mitigação, a depender de suas características, interdependências, fontes e potencial de impacto sobre o negócio.

    6.1 Risco Operacional

Além dos riscos operacionais inerentes às atividades executadas pela WisePay, também se considera o risco legal associado à inadequação ou deficiência em contratos firmados pela WisePay, às sanções em razão de descumprimento de dispositivos legais e às indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela Instituição. 

A estrutura de gerenciamento do Risco Operacional é independente das áreas de negócios (1ª Linha de Defesa), sendo responsável pela preparação e teste periódico do Plano de Continuidade de Negócios e por coordenar a avaliação de riscos a cada nova operação instituída, lançamentos de novos produtos e mudanças significativas nos processos existentes. 

A partir disso, a WisePay adota as seguintes providências, as quais serão melhor especificadas nas demais políticas, principalmente na Política de Privacidade, Política de Segurança Cibernética, Política de Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo e derivados:

• rígidos critérios para terceirização de serviços e contratação de fornecedores;

• aplicação de procedimentos de due diligence para contratação de serviços terceiros, fornecedores e parceiros, de acordo com o Manual de KYPS; 

• avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes; 

• plano de continuidade dos negócios que garanta a continuidade dos serviços de pagamento prestados na ocorrência de crises ou contingências; 

• mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos; 

• mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques; 

• procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança; 

• monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito; 

• revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos; 

• elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas; 

• realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas; 

• segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção; 

• identificação adequada do usuário final; 

• mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento; 

• processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas; 

• mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva; 

• avaliações e filtros específicos para identificar transações consideradas de alto risco; 

• notificação ao usuário final acerca de eventual não execução de uma transação; 

• mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente. 

    6.2 Risco de Liquidez

A estrutura de gerenciamento do Risco de Liquidez é independente das áreas de negócios (1ª Linha de Defesa), sendo responsável pelos processos e ferramentas para mensurar, monitorar, controlar e reportar o risco de liquidez, verificando continuamente a aderência às políticas e estrutura de limites aprovada. 

Os resultados são reportados à Diretoria através do Relatório Anual de Gerenciamento de Riscos. 

A partir disso, a WisePay adota: 

• processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia; e
  
  
• plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez.
   

    6.3 Risco de Crédito

A estrutura de gerenciamento de Risco de Crédito é independente das áreas de negócios (1ª Linha de Defesa), sendo responsável pelos processos e ferramentas para mensurar, monitorar, controlar e reportar o Risco de Crédito dos produtos e demais operações financeiras, verificando continuamente a aderência às políticas e estrutura de limites aprovadas. 

Há também uma avaliação dos possíveis impactos decorrentes de mudanças no ambiente econômico, a fim de garantir que a carteira de crédito seja resiliente a crises econômicas. 

As decisões de Risco de Crédito são tomadas pela Diretoria, com o envolvimento dos Destinatários, que estejam em cargos de coordenação das áreas da 1ª e 2ª linhas de defesa. Para o processo de tomada de decisão, são apresentadas e analisadas as informações decorrentes do desempenho histórico e dos modelos preditivos internos que analisam e pontuam clientes existentes e potenciais com base em seu perfil de rentabilidade e risco de crédito. 

A partir disso, a WisePay adota:

• limites para a realização de operações sujeitas ao risco de crédito; 

• procedimentos destinados a identificar, avaliar, monitorar e controlar a exposição ao risco de crédito; e

• procedimentos para a recuperação de créditos

7.    PAPÉIS E RESPONSABILIDADES 

No que concerne os elementos indicados nesta Política, a Diretoria é responsável por: 

• estabelecer as funções e responsabilidades inerentes à estrutura de gerenciamento contínuo e integrado de riscos; 

• aprovar e revisar periodicamente: as políticas, estratégias e os limites de gerenciamento de riscos, o plano de continuidade de negócios e o plano de contingência de liquidez; 

• assegurar a aderência às políticas, às estratégias e aos limites de gerenciamento de riscos;

• autorizar, quando necessário, exceções às políticas e aos procedimentos internos definidos; 

• promover a disseminação da cultura de gerenciamento de riscos na WisePay; 

• assegurar a correção tempestiva das deficiências da estrutura de gerenciamento de riscos; 

• assegurar recursos adequados e suficientes para o exercício das atividades de gerenciamento de riscos, de forma independente, objetiva e efetiva; 

• assegurar que a estrutura remuneratória adotada não incentive comportamentos incompatíveis com um nível de risco considerado prudente e definido nas políticas e estratégias de longo prazo adotadas pela WisePay; 

• assegurar a existência de níveis adequados e suficientes de capital e de liquidez; 

• promover o gerenciamento e manter-se informado sobre os riscos mais importantes que a WisePay enfrenta para manter os procedimentos internos em conformidade com a tolerância a riscos da WisePay; 

• nomear e destituir o diretor responsável pelo gerenciamento de riscos; 

• autorizar a liquidação de ativos ou limitação de linhas de negócio na vigência de crises de liquidez; 

Nesse contexto, o Sr. Rogério Cunha, é o responsável pela edição, implementação e fiscalização desta Política, cabendo-lhe a adoção de todas as medidas pertinentes para sua fiel observância por todos os Destinatários

8.    DESCUMPRIMENTO DA POLÍTICA

Todo e qualquer descumprimento a esta Política está sujeito a ações disciplinares. Caso haja conhecimento de alguma violação a este documento, esta deverá ser comunicada imediatamente ao Responsável pelo Gerenciamento de Riscos, por qualquer meio, para a adoção das medidas cabíveis. 

Dentre as penalidades aplicáveis, destacam-se a utilização, a critério do Responsável pelo Gerenciamento de Riscos, suportado pelo Comitê Executivo: advertência, verbal ou escrita, suspensão e demissão ou término de vínculo contratual.

 

9.    VIGÊNCIA E CONTROLE DE VERSÕES

Esta Política entra em vigor a partir da data de sua disponibilização aos Destinatários e será periodicamente revisada e atualizada pelo Responsável, com a frequência mínima de uma vez a cada 12 (doze) meses. 

 Histórico de Revisões