RELATÓRIO DE GERENCIAMENTO DE RISCOS SUPERDIGITAL

I. Introdução

II. Definições

III. Estrutura de gerenciamento de riscos

IV. Papeis e Responsabilidades

V. Órgãos de Governança

I. Introdução

RELATÓRIO DE GERENCIAMENTO DE RISCOS – ABR/2019

Este documento, de acesso público, objetiva informar a estrutura de gerenciamento de riscos da Super Pagamentos e Administração de Meios Eletrônicos S.A. conforme determina a Circular do Banco Central n°3.681/2013 A instituição estabelece os princípios para a gestão e o controle dos riscos comuns, define papéis e responsabilidades e estabelece requisitos apropriados de governança. A estrutura de riscos está devidamente segregada da unidade de

auditoria interna e formalizada em políticas.

II. DEFINIÇÕES

1. RISCO OPERACIONAL

O risco operacional é de responsabilidade da Gerência Executiva de Riscos da companhia, a mesma está subordinada à Diretoria Presidência.

Em cumprimento ao gerenciamento do risco, são realizados processos de identificação, mensuração e monitoramento do risco operacional, sendo esse definido como o risco de perdas decorrente da inadequação ou falha dos processos, pessoas e sistemas internos, ou por eventos externos.

Essa definição inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela Organização, mas exclui aqueles que ocorram como consequência de riscos estratégicos e de reputação.

Quanto às categorias de risco, representam as de primeiro nível de Basiléia, estes correspondem à:

a) Fraude Interna: perdas derivadas de algum tipo de atuação destinada a fraudar, apropriar-se de bens indevidamente ou burlar regulações, leis ou políticas empresariais (exceto pelos eventos relacionados à diversidade / discriminação), nas quais, ao menos, uma parte interna da organização se encontra implicada.

b) Fraude Externa: perdas derivadas de algum tipo de atuação destinada a fraudar, apropriar-se de bens indevidamente ou burlar a legislação, por parte de um terceiro.

c) Práticas relativas a emprego e segurança no local de trabalho: perdas derivadas de atuações incompatíveis com a legislação ou acordos trabalhistas, sobre higiene ou segurança no trabalho, sobre o pagamento de reclamações por lesão corporal, ou sobre casos relacionados com a diversidade/discriminação.

d) Práticas com clientes, produtos e serviços: perdas derivadas do não cumprimento involuntário ou negligente de uma obrigação profissional com clientes específicos (incluídos requisitos fiduciários e de adequação), ou da natureza ou concepção de um produto.

e) Danos em ativos físicos: perdas derivadas de danos ou prejuízos a ativos materiais como

consequência de desastres naturais ou outros acontecimentos.

f) Interrupções de negócios e falhas em sistemas: perdas derivadas de incidências do negócio e de falhas nos sistemas.

2. RISCO DE LIQUIDEZ

O gerenciamento do risco de liquidez é de responsabilidade da Gerência Financeira da companhia, a mesma está subordinada à Diretoria Financeira.

A gestão de liquidez é responsável por identificar, monitorar, controlar, analisar e reportar os possíveis descasamentos de fluxos de caixa ou oscilações de mercado que comprometam a liquidez da Instituição. O monitoramento é realizado diariamente e reportado a Diretoria Financeira.

Dentre as perdas oriundas do Risco de Liquidez encontram-se as perdas por vendas forçadas de ativos ou impactos na margem de rentabilidade por descasamento entre previsões de saídas e entradas de caixa.

O Gerenciamento do Risco de Liquidez na Superdigital cumpre os requisitos da Circular BACEN 3.681/13, que determina o depósito compulsório de 100% do saldo em moeda eletrônica.

Para o gerenciamento do Risco de Liquidez, deve-se observar:

• Risco de descasamento: a possibilidade de que as diferenças entre as estruturas de vencimentos dos ativos e os passivos gerem um descasamento no caixa. Isto levaria a incapacidade de honrar seus pagamentos e, pela natureza do negócio, esse risco está relacionado principalmente a incapacidade de honrar os recursos utilizados pelos clientes.
• Risco de Financiamento: a possibilidade de que a companhia seja incapaz de cumprir suas obrigações decorrentes da incapacidade de vender ativos ou financiar-se;
• Risco de Contingência: a possibilidade de não dispor de opções adequadas para a obtenção de liquidez como consequência de um evento externo que implique maiores necessidade de financiamento;

3. RISCO DE MERCADO

O gerenciamento do risco de mercado é de responsabilidade da Gerência Financeira da companhia, a mesma

está subordinada à Diretoria Financeira.

O risco de mercado é a incerteza a respeito dos lucros de uma Instituição, resultante de mudanças nas condições macroeconômicas e de mercado, volatilidade de preços de ativos cotados no mercado, taxa de juros, variação cambial, política econômica, entre outros fatores externos.

As perdas oriundas do Risco de Mercado são resultado de mudanças nas condições macroeconômicas e de mercado, taxa de juros, variação cambial, política econômica, entre outros fatores externos.

Para o gerenciamento do Risco de Mercado, a Superdigital gerencia o risco de taxa de câmbio, que é a possibilidade de perda de valor devido a variações cambiais ocorrer em face de liquidações internacionais.

III. ESTRUTURA DE GERENCIAMENTO DE RISCOS

1. ESTRUTURA

IV. PAPEIS E RESPONSABILIDADES

A gestão do risco é responsabilidade de todos. Todos os funcionários devem estar cientes dos riscos gerados por suas atividades. Eles são responsáveis pela identificação, gestão e report do risco e, devem evitar assumir riscos quando os impactos são desconhecidos ou excedem o apetite ao risco.

No que tange a Gestão do Risco de Liquidez e Mercado a Gerência Financeira, subordinada a Diretoria

Financeira é a responsável direta.

No que refere a Gestão do Risco Operacional a Gerência Executiva de Riscos, subordinada a Diretoria Presidente é a responsável direta.

Apresentamos a seguir, uma descrição dos papéis e responsabilidades das funções envolvidas nos assuntos abrangidos pela gestão de riscos.

1. PRIMEIRA LINHA DE DEFESA

A primeira linha de defesa é a responsável para apoiar e promover a cultura de risco da organização. Dentre outras responsabilidades, compete:

• Estabelecer um ambiente adequado para a gestão de todos os riscos associados ao negócio.
• Implementar os mecanismos para gerenciar o perfil de risco de acordo com o apetite ao risco e os limites definidos.
• Garantir que os modelos operacionais de gestão são eficazes para as necessidades do negócio.

2. SEGUNDA LINHA DE DEFESA

A segunda linha de defesa é responsável por garantir que os riscos são gerenciados em conformidade com o apetite ao risco definido pela Alta Administração e promover uma cultura de risco sólida em toda a organização.

Dentre outras responsabilidades, compete:

• Supervisionar a gestão do risco, conforme realizado pela primeira linha de defesa.
• Verificar a observância das políticas e limites estabelecidos e avaliar se os negócios permanecem em conformidade com o apetite ao risco.
• Opinar e questionar/desafiar propostas de negócios. Proporcionar à Alta Administração e às unidades de negócios os elementos necessários para a compreensão do risco dos diferentes negócios e atividades.
• Proporcionar uma visão consolidada das exposições de risco.
• Proporcionar avaliações detalhadas de riscos materiais.
• Definir as métricas a serem utilizadas para mensurar o risco, bem como revisar e questionar/desafiar o apetite ao risco e propostas de limites da primeira linha de defesa.
• Confirmar se existem políticas e procedimentos adequados para gerenciar o negócio.

3. TERCEIRA LINHA DE DEFESA

A terceira linha de defesa (Auditoria Interna) avalia regularmente se as políticas, métodos e procedimentos são adequados e estão implementados de forma eficaz para a gestão e o controle dos Riscos.

V. ÓRGÃOS DE GOVERNANÇA

1. COMITÊ EXECUTIVO

O Comitê Executivo é o colegiado de Diretores da Companhia, cabendo-lhe assegurar o funcionamento regular do negócio, tendo poderes para propor e praticar todos e quaisquer atos em nome da Companhia, observado que determinados atos, em decorrência do Estatuto Social dependem de prévia aprovação da Assembleia Geral ou do Conselho de Administração da Companhia.

Dentre outras atribuições, compete:

a) Assegurar a gestão de riscos por todas as áreas da companhia conforme o nível de responsabilidade destacados nas linhas de defesas.

b) Supervisionar a conformidade com os limites atribuídos no apetite de riscos da companhia.

c) Aprovar a Política e os métodos de gestão do Risco Financeiros e Não financeiros.

d) Assegurar que a companhia mantenha políticas e procedimentos adequados e suficientes para a análise do risco de liquidez, mercado, operacional, regulatório, reputacional e socioambiental da Companhia.

e) Garantir o alinhamento à estratégia da companhia e às práticas de governança corporativa nas atividades de controle de riscos, assegurando a aplicação e adequação das políticas institucionais.

2. COMITÊ DE RISCOS

Atribui ao Comitê supervisionar o gerenciamento de riscos e o acompanhamento dos indicadores.

Dentre outras atribuições, compete:

a) Propor à Alta Administração as políticas, regras, limites, estratégias, planos e programas relacionados ao gerenciamento de riscos;

b) Avaliar os níveis de riscos definidos na Declaração de Apetite de Risco e as estratégias para seu gerenciamento, incluindo a supervisão da comunicação da RAS pela Companhia;

c) Supervisionar o desempenho do gerenciamento de risco, incluindo a adequação da Estrutura de Gerenciamento de Risco às necessidades dos negócios da Companhia, bem como a atuação e o desempenho; e

d) Supervisionar a observância pela administração da Superdigital à Declaração de Apetite de Risco;

e) Supervisionar o cumprimento da Companhia ao Marco Geral de Riscos.

Conheça os processos e controles que a Superdigital estabelece para proteção da informação e tratamento dos riscos e ameaças relacionadas à Segurança da Informação e Segurança Cibernética.

Esse documento, tem como objetivo informar ao público as diretrizes para o tratamento, o armazenamento, o processamento e a transmissão de informações utilizadas no ambiente tecnológico e físico da Superdigital assim como a capacidade em prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético. Essas diretrizes de Segurança da Informação e Segurança Cibernética estão estabelecidas em políticas e normativos internos da Superdigital.

Princípios de Segurança da Informação são:

• Confidencialidade – Devemos assegurar a construção de processos que garantam a disponibilização de acessos a pessoas e serviços baseados no conceito de "mínimo privilégio possível" e mecanismos que definam e garantam o acesso de informações somente aos níveis apropriados;

• Disponibilidade – Devemos assegurar que infraestruturas e suas redes de comunicações, sistemas, canais e meios de autenticação possuem mecanismos que garantam a disponibilidade de informações dentro dos padrões exigidos pela Organização;

• Integridade – Devemos assegurar a precisão das informações e dos métodos de seu tratamento, processamento e descarte, bem como da transparência no trato com os públicos envolvidos.

Princípios de Segurança da Segurança Cibernética são:

Adotar controles para redução das vulnerabilidades da Superdigital a incidentes e atender ao demais objetivos da segurança cibernética, respeitando as definições abaixo:

• Identificar a causa e os impactos dos incidentes no ambiente da Superdigital;
• Manter plano de ação e de resposta a incidentes estruturado, conforme descrito em normativa NSI-020 - Gestão de Incidentes de Segurança;
• Manter plano de continuidade de negócios com a previsão de incidentes, conforme previsto no seguinte documento: 14 - Normativa de Gestão de Continuidade de Negócios;
• Manter área especifica para o tratamento de incidentes;
• Gerar relatório anual com status de plano de ação e respostas a incidentes;
• Revisar anualmente o plano de resposta a incidentes

Incidente de Segurança é qualquer evento inesperado ou indesejado, que traga riscos a confidencialidade, integridade e disponibilidade da infraestrutura, dados, serviços ou processos da empresa.

Classificação da Informação

As informações devem ser disponibilizadas e classificadas de acordo com seu nível de criticidade, adotando os rótulos de:

• Pública
• Interna
• Confidencial
• Restrita

Diretrizes de Acesso a Informação

• As informações de propriedade da Superdigital, de seus clientes e do público devem ser gerenciadas de acordo com as leis e normas internas, enquanto seu uso deve ser exclusivo aos fins definidos pelos proprietários.

• Todos os processos críticos de negócio devem garantir a devida segregação de funções.

• O acesso à informações e recursos só deve ser permitido mediante prévia autorização, de acordo com as regras de aprovação de acessos, e classificação de informação.

• Os acessos aos recursos utilizados pelos usuários devem ser concedidos com base no princípio do menor privilégio necessário para a realização de suas atividades;

• Os incidentes de segurança identificados devem ser formalmente registrados e acompanhados através de sistemas específicos;

• As responsabilidades quanto à Segurança da Informação devem ser amplamente divulgadas aos colaboradores pela área de Segurança da Informação, que devem entender e assegurar que estas diretrizes sejam seguidas;

• O desenvolvimento e/ou aquisição de sistemas para utilização pela empresa devem seguir as recomendações feitas pela área de Segurança da Informação.

Gestão de Incidentes

Deve-se adotar controles para redução das vulnerabilidades da Superdigital a incidentes e atender ao demais objetivos da segurança cibernética, respeitando as definições abaixo:

• Identificar a causa e os impactos dos incidentes no ambiente da Superdigital;
• Manter plano de ação e de resposta a incidentes estruturado;
• Manter plano de continuidade de negócios com a previsão de incidentes;
• Manter área especifica para o tratamento de incidentes;
• Gerar relatório anual com status de plano de ação e respostas a incidentes;
• Revisar anualmente o plano de resposta a incidentes;
• Implantação de programa de capacitação e avaliação dos colaboradores em Segurança da Informação;
• Comprometimento da ata direção com a melhoria continua dos procedimentos relacionados à Segurança Cibernética.

Procedimentos e Controles

A Superdigital mantém controles tecnológicos e processuais que garantem a segurança da informação bem como a rastreabilidade das informações e a mitigação da vulnerabilidade da instituição a incidentes de segurança cibernética.

• Gestão e Controle de Acessos;
• Prevenção contra Softwares Maliciosos;
• Rastreabilidade;
• Manutenção e Cópias de Segurança;
• Proteção de Perímetro;
• Teste de Penetração;
• Prevenção de Perda de Dados.

Responsabilidades

Todos os colaboradores e os prestadores de serviços são responsáveis pelo cumprimento integral das diretrizes estabelecidas pela Superdigital quanto ao tema de Segurança da informação e Segurança

Aderência à Política

Caso seja identificada uma conduta não aderente as políticas e normativos, ou o seu descumprimento, a Superdigital tomará as medidas legais, tecnológicas ou disciplinares necessárias de forma a manter a aderência a mesma.

Um incidente de origem cibernética identificado pelo público geral deverá ser reportado pelo e-mail seginf@superdigital.com.br