Política de gestão de riscos corporativos

Objetivo

Esta política tem por objetivo estabelecer os conceitos, diretrizes e regras de gestão de riscos, visando o Mercado Bitcoin , os clientes e o público em geral.

Abrangência

Esta política aplica-se a todos os administradores, sócios, funcionários, estagiários e prestadores de serviços do Mercado Bitcoin (Empresa).

Conceitos

  • Risco: ameaças ou ações que possam impactar os objetivos da Empresa.
  • Apetite a Riscos: nível de exposição à riscos que a Empresa está disposta a aceitar.
  • Controles: políticas, normas, procedimentos, atividades e mecanismos desenvolvidos para assegurar que os objetivos de negócios sejam atingidos e que eventos indesejáveis sejam prevenidos ou detectados e corrigidos.
  • Atividades de Controles: Conjunto de ações, políticas, normas, procedimentos e sistemas, com os quais se visa salvaguardar os ativos, assegurando que seus riscos sejam conhecidos e mitigados adequadamente.

Diretrizes

Estabelecer as regras para gerenciamento de risco, baseada nas melhores práticas e regulações existentes, por meio da segregação das linhas de defesa e pelo monitoramento dos controles internos.

São consideradas “linhas de defesa” as segregações de funções, papéis, responsabilidades, áreas e práticas com o objetivo de mitigar a materialização dos riscos que possam acarretar prejuízos à Empresa.

  1. Primeira linha de defesa:

    A primeira linha de defesa é a responsável direta por gerir, identificar, monitorar e mitigar a materialização dos riscos. Normalmente são associadas às funções, práticas e áreas que mantém os processos de negócios da Empresa. Desta forma, esta linha de defesa possui os objetivos:

    • Identificar, avaliar, controlar e mitigar os riscos;
    • Implementar ações para o tratamento dos riscos;
    • Manter controles internos eficazes; e
    • Informar potenciais prejuízos.
  2. Segunda linha de defesa

    A segunda linha de defesa é a responsável pela monitoração dos níveis de riscos, de forma a assegurar que estejam dentro do “apetite de risco” estabelecido. Desta forma, esta linha de defesa possui os objetivos:

    • Implantar a estrutura de gerenciamento de riscos;
    • Fornecer orientação sobre gestão de riscos e práticas;
    • Assegurar o estabelecimento de limites e alçada de aprovação;
    • Monitorar os riscos e perdas operacionais;
    • Monitorar a eficácia dos controles internos e ações mitigadoras;
    • Prover visibilidade aos gestores quanto a situação do ambiente de controle e riscos.
  3. Terceira linha de defesa:

    A terceira linha de defesa é a responsável pela avaliação independente dos controles internos e riscos à alta administração da Empresa. Desta forma, esta linha de defesa possui os objetivos:

    • Auditar os processos e controles internos de forma independente.
    • Prover avaliações sobre a eficácia do gerenciamento de riscos e dos controles internos.

Regras para gerenciamento de riscos

A estrutura de gerenciamento de risco deve ser segregada por linhas de defesa, capaz de avaliar periodicamente os processos, práticas e controles com o objetivo de identificar e mensurar vulnerabilidades que podem acarretar perdas e, consecutivamente, impactar os objetivos de negócio.

Os processos devem possuir atividades de controles que assegurem que seus riscos sejam conhecidos, controlados e mitigados adequadamente.

A mensuração do risco deve considerar a exposição à vulnerabilidade e ao impacto, com base nos limites descritos abaixo.

  1. Identificação da vulnerabilidade

    Os riscos devem ser identificados, avaliados, documentados e formalizados de forma estruturada para que sejam conhecidos e tratados.

    Os riscos devem ser avaliados e mensurados considerando o nível de exposição à vulnerabilidade frente ao impacto para Empresa

  2. Mensuração de vulnerabilidade

    Os riscos devem ser identificados, avaliados, documentados e formalizados de forma estruturada para que sejam conhecidos e tratados.

    • Baixo: Existência de controles internos eficazes para mitigação dos riscos.
    • Médio: Predominância de controles internos eficazes para mitigação dos riscos.
    • Alto: Poucos controles eficazes para mitigação dos riscos.
    • Extremo: Inexistência ou predominância de controles ineficazes para mitigação dos riscos.
  3. Mensuração do impacto

    A mensuração do risco deve ser realizada como base no impacto sob as perspectivas financeira, reputacional e regulatório.

  4. Impacto financeiro

    Abaixo a escala de impacto reputacional que deve ser considerada para a mensuração do risco:

    • Baixo: Impacto irrelevante na reputação, em pequeno grupo de cliente e com rápida remediação.
    • Médio: Impacto mínimo na reputação, atenção da mídia local e reversíveis no curto prazo.
    • Alto: Poucos controles eficazes para mitigação dos riscos.
    • Extremo: Inexistência ou predominância de controles ineficazes para mitigação dos riscos.
  5. Impacto regulatório

    Abaixo a escala de impacto regulatório que deve ser considerada para a mensuração do risco:

    • Baixo: Notificações legais, sem penalidades ou multa.
    • Médio: Aplicação de multas ou sanções não significativas.
    • Alto: Aplicação de multas ou sanções significativas que não impactam a continuidade das operações de negócio.
    • Extremo: Inexistência ou predominância de controles ineficazes para mitigação dos riscos.
  6. Tratamento e monitoração

    Os riscos devem ser tratados conforme sua exposição e prioridade. Desta forma, as medidas abaixo podem ser adotadas como tratamento do risco:

    • Evitar: descontinuar atividades, produtos, negócios, práticas ou processos que acarretam os riscos identificados.
    • Reduzir: adotar medidas ou ações para reduzir a vulnerabilidade ou impacto do risco identificado.
    • Compartilhar: transferir a vulnerabilidade ou impacto para terceiros (ex.: seguros, hedging, etc.).
    • Aceitar: nenhuma medida é adotada.

    As ações, controles e processos relacionados ao tratamento do risco devem ser avaliados periodicamente com o objetivo de assegurar que as medidas adotadas foram eficazes.

  7. Prazo de tratamento

    Os responsáveis pelo risco, gestores da primeira linha de defesa, devem realizar o tratamento do risco conforme o nível de exposição e dentro dos prazos abaixo:

    • Baixo: até 365 dias após a identificação.
    • Médio: até 180 dias após a identificação.
    • Alto: até 60 dias após a identificação.
    • Extremo: até 30 dias após a identificação.

    Os riscos que possuem impactos regulatórios devem ser tratados dentro dos prazos estipulados pelos órgãos reguladores e lei.

  8. Alçada de aprovação

    Os tratamentos dos riscos devem ser aprovados pela alçada abaixo.

    • Risco baixo: Gestor direto, responsável pelo processo, prática ou negócio;
    • Risco médio: Líder ou Diretor do processo, prática ou negócio;
    • Risco alto: Diretor geral; e
    • Risco extremo: Sócios.
  9. Alçada de aprovação

    Os riscos materializados devem ser registrados, os prejuízos contabilizados e os tratamentos previstos para que a Empresa possa evitar, reduzir, compartilhar ou aceitar a recorrência desses eventos.

    • Risco baixo: Gestor direto, responsável pelo processo, prática ou negócio;
    • Risco médio: Líder ou Diretor do processo, prática ou negócio;
    • Risco alto: Diretor geral; e
    • Risco extremo: Sócios.

Papéis e responsabilidades

  1. Sócios-Administradores

    Responsabilidades dos Sócios-Administradores:

    • Definir o “Apetite a Riscos” da Empresa;
    • Aprovar os tratamentos de riscos extremos; e
    • Acompanhar a evolução da estrutura de gerenciamento de riscos.
  2. Diretores, Líderes e Gestores Diretos

    Responsabilidades dos Diretores, Líderes e Gestores:

    • Aprovar os tratamentos de riscos altos, médios e baixos;
    • Assegurar a implementação de controles internos para identificação e tratamento do riscos;
    • Comunicar a identificação e a evolução do tratamento dos riscos; e
    • Acompanhar a evolução da estrutura de gerenciamento de riscos dentro de suas áreas, processos, práticas, produtos e negócios.

Referências

  • Contrato Social
  • Código de Conduta
  • COSO – ERM: Committee of Sponsoring Organizations of the Treadway Commission – Enterprise Risk Management Framework

Informações de controle

Início da vigência: 04/12/2018
Data da 1ª Versão: 04/12/2018

Responsáveis pelo documento:
Bernardo Srur | Líder de Compliance

Anexos