Política de Gestão de Riscos (PGR)

POLÍTICA DE GESTÃO DE RISCOS (PGR) - GOATCOM

1. Introdução e Objetivo

1.1. A Política de Gestão de Riscos (PGR) da Goatcom é o documento norteador que estabelece a estrutura, as diretrizes e as responsabilidades para o gerenciamento integrado de riscos em toda a organização. Como subadquirente operando no Sistema de Pagamentos Brasileiro (SPB), a Goatcom está sujeita a uma variedade de riscos que podem impactar sua estabilidade financeira, continuidade operacional e reputação.

1.2. Esta política foi elaborada em estrita conformidade com as regulamentações do Banco Central do Brasil (BACEN), destacando-se a Resolução BCB nº 150/2021, que consolida as normas sobre arranjos de pagamento, e a Resolução CMN nº 4.557/2017, que dispõe sobre a estrutura de gerenciamento de riscos e de capital.

1.3. O objetivo fundamental desta PGR é assegurar que os riscos sejam identificados, mensurados, avaliados, monitorados, reportados, controlados e mitigados de forma sistemática e consistente. Ao estabelecer uma cultura de riscos robusta, a Goatcom visa:

• Garantir a continuidade dos serviços de pagamento prestados aos seus clientes.
• Proteger o capital e a liquidez da instituição.
• Assegurar a conformidade com as leis e regulamentações vigentes.
• Otimizar a tomada de decisão estratégica baseada em uma visão clara do apetite a riscos.

2. Escopo e Aplicabilidade

2.1. Esta política aplica-se a todas as unidades de negócio, processos e colaboradores da Goatcom. Abrange todos os tipos de riscos relevantes, com foco especial nos riscos operacional, de liquidez, de crédito e de mercado, além dos riscos de conformidade e reputacional.

3. Estrutura de Governança e Apetite a Riscos

3.1. Modelo de Três Linhas de Defesa

3.1.1. A Goatcom adota o modelo de Três Linhas de Defesa, conforme as melhores práticas internacionais de governança:

3.2. Declaração de Apetite a Riscos (RAS)

3.2.1. A Diretoria Executiva define anualmente a Declaração de Apetite a Riscos (Risk Appetite Statement - RAS), que estabelece os níveis de risco aceitáveis. A Goatcom possui tolerância zero para riscos que envolvam fraude interna, lavagem de dinheiro, financiamento ao terrorismo e violações graves de segurança cibernética.

4. Categorias de Riscos Gerenciados

4.1. Risco Operacional: Foca na prevenção de perdas decorrentes de falhas em processos, pessoas, sistemas ou eventos externos. Inclui o Risco Cibernético, Risco de Fraude (ferramentas antifraude em tempo real) e Risco Jurídico.

4.2. Risco de Liquidez: Garante que a empresa possa honrar suas obrigações de liquidação financeira. Inclui a elaboração de fluxo de caixa projetado e a manutenção de um Plano de Contingência de Liquidez (PCL).

4.3. Risco de Crédito: Manifesta-se na possibilidade de insolvência de um EC ou na ocorrência de chargebacks não recuperados. Mitigado através de políticas de KYC e retenção de recebíveis em casos de alto risco.

4.4. Risco de Mercado: Monitoramento de descasamentos de taxas de juros ou variações em índices que possam afetar o valor dos ativos e passivos financeiros.

5. Processo de Gerenciamento de Riscos

5.1. O processo é contínuo e composto pelas seguintes fases:

• Identificação: Mapeamento sistemático de riscos novos e emergentes.
• Mensuração e Avaliação: Atribuição de probabilidade e impacto através de uma Matriz de Riscos 5x5.
• Tratamento e Mitigação: Definição de planos de ação, implementação de controles ou transferência de risco (seguros).
• Monitoramento: Acompanhamento dos Indicadores Chave de Risco (KRIs), como índice de chargeback e inatividade de sistemas.
• Reporte e Comunicação: Elaboração de relatórios mensais para o Comitê de Riscos e anuais para o Banco Central.

6. Prevenção à Lavagem de Dinheiro e Combate ao Financiamento do Terrorismo (PLD/CFT)

6.1. A Goatcom adota uma política rigorosa de PLD/CFT em conformidade com a Circular BACEN nº 3.978/2020. O gerenciamento deste risco é integrado à estrutura global de riscos.

6.2. Procedimentos de KYC incluem a identificação e qualificação de ECs, identificação de beneficiários finais e verificação sistemática de Pessoas Politicamente Expostas (PPE).

6.3. O monitoramento transacional utiliza sistemas automatizados para identificar indícios de lavagem de dinheiro, com reporte obrigatório ao COAF em casos suspeitos, mantendo-se o sigilo absoluto.

7. Continuidade de Negócios e Gerenciamento de Crises

7.1. Visa garantir a manutenção ou retomada das atividades críticas. Inclui a Análise de Impacto nos Negócios (BIA), o Plano de Continuidade de Negócios (PCN) e o Plano de Recuperação de Desastres (PRD), com a realização de testes anuais.

8. Auditoria e Monitoramento da Conformidade

8.1. A eficácia da estrutura é avaliada pela Auditoria Interna e através de Autoavaliações de Riscos e Controles (RCSA) realizadas semestralmente pelos gestores das unidades de negócio.

8.2. A Goatcom elabora um relatório anual detalhando a estrutura de gerenciamento de riscos e a eficácia dos controles, mantendo-o à disposição do Banco Central do Brasil.

9. Disposições Finais

9.1. O descumprimento das diretrizes desta Política sujeitará os responsáveis a sanções disciplinares, além das responsabilidades civis e criminais aplicáveis.

9.2. Esta política entra em vigor na data de sua aprovação e será revisada ordinariamente a cada 12 meses. Aprovado pela Diretoria Executiva da Goatcom em 14 de Janeiro de 2026 (Versão 1.0).

9.3. GOAT COMMERCE LTDA - CNPJ: 60.126.754/0001-14