Home / Centro de Políticas / Política de Gestão de RiscosHome / Policy Center / Risk Policy

Voltar ao Centro de PolíticasBack to Policy Center

Política de Gestão de RiscosRisk Policy

Última atualização:Last updated: 05/05/2026 · VersãoVersion 1.1 · Classificação externaPublic classification

1. Objetivo

Estabelecer as diretrizes, princípios, governança e responsabilidades da LaFinteca no processo de gerenciamento dos riscos materiais adotados para a estrutura de gerenciamento contínuo de riscos e a metodologia de apuração para o requerimento mínimo de Patrimônio de Referência de Instituição de Pagamento (PRIP), aos quais a Instituição está exposta, considerando seu porte, complexidade, modelo de negócios e perfil de atuação no mercado de alto risco. A política visa assegurar a aderência à regulamentação aplicável, especialmente a Lei Nº 12.865/2013; a Resolução BCB n° 436/2024; a Resolução BCB N° 198/2022; e a Resolução BCB N° 80/2021, e demais normativos pertinentes.

2. Abrangência

Esta política se aplica à LaFinteca em toda a sua estrutura organizacional, incluindo gestores, empregados, colaboradores, demais partes interessadas e terceiros.

O gerenciamento de riscos é inerente à atividade da LaFinteca e, portanto, é dever de todos o cumprimento desta Política. Cabe à Alta Administração, através de áreas por ela determinadas, a divulgação e implementação de suas medidas e procedimentos.

Esta Política será:

  • Compatível com o modelo de negócio, natureza das operações e a complexidade dos produtos, serviços, atividades e processos da LaFinteca;
  • Proporcional à dimensão e à relevância da exposição aos riscos, segundo critérios definidos pela LaFinteca;
  • Adequada ao perfil de riscos da LaFinteca.

3. Princípios e Diretrizes

  • Proporcionalidade e Escalabilidade: O gerenciamento de riscos é proporcional ao porte, volume de operações e modelo de negócios, com processos escaláveis para acompanhar o crescimento da empresa.
  • Aderência Regulatória: Alinhamento integral às normas do Banco Central do Brasil e às melhores práticas internacionais, como os frameworks ISO 31000, COSO ERM e ISO 27001.
  • Cultura de Riscos: Fomentar uma cultura corporativa orientada à gestão de riscos, com engajamento de todas as linhas de defesa.
  • Ciclo Contínuo: Os processos de risco seguem um ciclo contínuo de identificação, avaliação, mensuração, monitoramento, controle, mitigação e reporte.
  • Resiliência Operacional: O gerenciamento está diretamente conectado aos Planos de Continuidade de Negócios (PCN) e gestão de crises.
  • Governança Transparente: Definição clara das responsabilidades, escalonamento e reporte dos riscos à alta administração.
  • Gestão de Terceiros: Reconhecimento e controle dos riscos provenientes de fornecedores e parceiros estratégicos.

4. Patrimônio de Referência e Seu Requerimento Mínimo

A LaFinteca, para efeitos de cálculo do patrimônio de referência, adota as regras de apuração de capital regulamentar para o cumprimento regulatório de absorção de perdas inesperadas, bem como a garantia de melhor gestão do capital e da absorção das perdas que deve ser suficiente para cobrir todos os riscos incorridos pela instituição.

O PRIP é apurado de acordo com os critérios definidos pelo Bacen, levando em consideração a aplicação de cálculo com fator inerente ao montante dos ativos ponderados pelo risco para a LaFinteca. Tais critérios englobam os ativos ponderados pelo risco dos serviços de pagamento prestados referentes às atividades de emissora de moeda eletrônica.

O requerimento mínimo de PRIP da instituição deverá se manter suficiente para cobrir os riscos da LaFinteca, sejam os riscos associados aos serviços de pagamento ou aos riscos inerentes às demais atividades exercidas pela instituição. Os dados contábeis para a apuração do PRIP devem ser encaminhados regularmente ao Bacen.

5. Estrutura de Riscos

A LaFinteca reconhece e gerencia, no mínimo, os seguintes riscos:

  • Risco de Crédito
  • Risco de Mercado
  • Risco de Liquidez
  • Risco Operacional, incluindo: Cibernético e Segurança da Informação; Fraudes internas e externas; Terceiros e fornecedores
  • Risco Legal e Regulatório
  • Risco de Compliance
  • Risco Reputacional
  • Risco Estratégico
  • Risco de Tecnologia e Cibersegurança (destacado como categoria própria, dada a criticidade)

A Estrutura de Riscos atua através do conjunto de componentes organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos, representando as atividades realizadas pelas pessoas em todos os níveis da instituição.

Três Linhas de Defesa

  • Primeira Linha: gestores com funções ou atividades de negócios que geram exposição a riscos, gerenciando e implementando as ações para monitoramento e mitigação dos riscos associados aos processos sob sua responsabilidade.
  • Segunda Linha: áreas ou pessoas responsáveis por Compliance, Controles e Gerenciamento de Riscos, definindo os métodos para identificação, avaliação e monitoramento do grau de exposição a riscos.
  • Terceira Linha: áreas de auditoria interna, que provêm verificação e avaliação independente e periódica da eficácia dos processos e procedimentos estabelecidos para controle e gestão dos riscos.

6. Risco Operacional

Consideram-se eventos de Risco Operacional a possibilidade de ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas, tais como:

  • Risco legal associado à inadequação ou deficiência em contratos firmados pela LaFinteca;
  • Sanções por descumprimento de dispositivos legais e indenizações por danos a terceiros;
  • Falhas na proteção e na segurança de dados sensíveis (credenciais dos Clientes, informações trocadas em Transações);
  • Falhas na identificação, autenticação e autorização de Transações;
  • Fraudes internas e externas;
  • Demandas trabalhistas e segurança deficiente do local de trabalho;
  • Práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;
  • Danos a ativos físicos próprios ou em uso pela LaFinteca;
  • Ocorrências que acarretem a interrupção das atividades ou a descontinuidade dos serviços;
  • Falhas em sistemas, processos ou infraestrutura de tecnologia da informação;
  • Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento.

Para a prevenção, identificação e tratamento de Riscos Operacionais, a LaFinteca adota plano de contingência, identificação e avaliação contínua, segregação de funções, mecanismos de proteção de dados, monitoramento de Transações com objetivo de prevenir fraudes, e avaliação dos riscos decorrentes de serviços terceirizados relevantes.

7. Risco de Liquidez

Consideram-se eventos de Risco de Liquidez:

  • A incapacidade de honrar, eficientemente, as obrigações esperadas e inesperadas, correntes e futuras, sem que sejam afetadas as operações diárias da LaFinteca e sem incorrer em perdas significativas;
  • A incapacidade de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do Cliente.

O Risco de Liquidez pode ser classificado como:

  • Risco de Descasamento: diferenças entre as estruturas de vencimentos dos ativos e os passivos que gerem descasamento no caixa.
  • Risco de Financiamento: incapacidade de cumprir obrigações decorrentes da incapacidade de vender ativos ou financiar-se.
  • Risco de Contingência: não dispor de opções adequadas para a obtenção de liquidez diante de evento externo que implique maiores necessidades de financiamento.

A estrutura de gerenciamento do risco de liquidez é apresentada em relatório de acesso público, com periodicidade mínima anual. A Estrutura de Gerenciamento de Riscos prevê processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia, e o plano de contingência de liquidez.

8. Apetite e Tolerância ao Risco

A LaFinteca mantém um perfil de alto apetite ao risco em relação ao segmento de atuação (clientes de alto risco, como apostas, iGaming, etc.), desde que os riscos sejam devidamente conhecidos, avaliados, monitorados e mitigados, e estejam dentro dos limites e controles definidos.

O Apetite ao Risco é documentado na Declaração de Apetite ao Risco (Risk Appetite Statement – RAS), que:

  • Define os níveis de exposição aceitáveis para cada categoria de risco;
  • Estabelece limites quantitativos e qualitativos;
  • Direciona as decisões estratégicas, operacionais e de compliance.

Os riscos que excedam os limites do apetite demandam ações imediatas de mitigação, reporte à Diretoria e, quando aplicável, decisão sobre aceitação, mitigação, transferência ou eliminação.

9. Metodologia de Gerenciamento de Riscos

9.1 Etapas do Processo

  1. Identificação dos Riscos — Análise dos processos, produtos, serviços e mercado. Avaliação de riscos emergentes, mudanças regulatórias, novos produtos ou serviços. Ferramentas: RCSA (Risk Control Self-Assessment), Mapeamento de processos (BPM), análise de incidentes e perdas, entrevistas/workshops/checklists, análise de riscos de terceiros.
  2. Formalização do Risco — Cada risco deve conter: Descrição; Causa; Categoria (Operacional, tecnológico, reputacional, estratégico, etc.); Área Impactada; Impacto (financeiro, operacional, legal, reputacional); Probabilidade (Baixa, Média, Alta); Controles Existentes; Plano de Ação (necessário para riscos Médio ou Alto).
  3. Avaliação e Classificação — Utilização de Matriz 3x3 (Impacto x Probabilidade).
  4. Mensuração e Definição de Limites — Métricas e indicadores (KRIs); Limites operacionais, financeiros e de exposição.
  5. Tratamento dos Riscos — Aceitação (se dentro do apetite); Mitigação (novos controles); Transferência (seguros, contratos, outsourcing); Eliminação (encerramento do processo, cliente ou produto).
  6. Monitoramento Contínuo — Avaliação periódica; Monitoramento dos KRIs como % de chargebacks sobre volume, volume de transações suspeitas, incidentes de cibersegurança, SLA e compliance de fornecedores críticos.
  7. Reporte e Escalonamento — Riscos Alto e Crítico são reportados imediatamente à Diretoria; relatórios periódicos apresentados à Diretoria e, quando existente, ao Comitê de Riscos.

10. Governança de Riscos

Country Manager

  • Atua como principal responsável pela supervisão geral da gestão de riscos.
  • Aprova a Política de Riscos e suas revisões.
  • Recebe relatórios periódicos sobre a exposição aos riscos e a efetividade das ações mitigatórias.

Diretor de Riscos e Compliance

  • Coordena a implementação da Política de Riscos.
  • Monitora a exposição a riscos de compliance, operacionais, PLD/FT e demais riscos não financeiros.
  • Consolida relatórios à Alta Administração e atua como elo entre a LaFinteca e órgãos reguladores.

Diretor Financeiro

  • Responsável pela identificação, avaliação e monitoramento dos riscos financeiros (crédito, liquidez, mercado).
  • Apoia o processo de planejamento financeiro considerando as exposições de risco.

Controles Internos

  • Monitora a eficácia dos controles implementados, realizando testes periódicos.
  • Reporta ao Diretor de Compliance e à Alta Administração eventuais falhas ou oportunidades de melhoria.

Auditoria Interna

  • Realiza avaliações independentes sobre a eficácia da gestão de riscos e dos controles internos.
  • Pode ser estruturada como função interna independente ou contratada terceirizada.
  • Reporta os resultados à Alta Administração e atua com imparcialidade.

11. Integração com Continuidade de Negócios e Gestão de Crises

A LaFinteca possui procedimentos específicos para o tratamento de contingências na gestão de crises e de continuidade de negócios, observando-se:

  • Efetividade da implementação do plano, políticas e procedimentos para gestão de contingência e continuidade de negócios;
  • Tratamento adequado para gerenciamento de crise, continuidade operacional e recuperação de desastres;
  • Garantia de recursos humanos e materiais para implementação do plano;
  • Estabilidade organizacional em nível adequado durante a recuperação;
  • Resposta adequada, coordenada e tempestiva em situações de crise;
  • Validação dos ambientes e procedimentos de contingência por meio de testes periódicos.

Eventos classificados como Risco Alto podem gerar a ativação do Plano de Continuidade de Negócios (PCN) e dos Procedimentos de Gestão de Crises, que contemplam comunicação interna, acionamento de fornecedores críticos, stakeholders e, quando aplicável, o regulador.

12. Documentação, Atualização e Revisão

Todos os riscos devem ser documentados em sistema próprio de gestão de riscos. A política será revisada, no mínimo, anualmente ou sempre que houver:

  • Mudanças significativas no ambiente regulatório;
  • Alterações relevantes na estrutura, processos ou modelo de negócios da LaFinteca.

13. Referências Normativas e Frameworks

  • Lei Nº 12.865/2013 — Arranjos de Pagamento e Instituições de Pagamento integrantes do SPB.
  • Resolução BCB n° 436/2024 — classificação de instituições e conglomerados.
  • Resolução BCB N° 198/2022 — requerimento mínimo de PRIP.
  • Resolução BCB N° 80/2021 — requisitos para constituição e funcionamento de Instituições de Pagamento.
  • ISO 31000 — Gestão de Riscos.
  • ISO 27001 — Segurança da Informação.
  • COSO ERM — Enterprise Risk Management Integrated Framework.

14. Disposições Finais

Esta Política entra em vigor na data de sua aprovação pela Diretoria da LaFinteca e deverá ser observada por todos os colaboradores, fornecedores e parceiros, sendo parte integrante do Sistema de Controles Internos da Instituição.

Esta Política será submetida a revisões anuais, com a documentação e estratégias de gerenciamento de riscos e governança mantida por 5 (cinco) anos à disposição do Banco Central do Brasil, a fim de determinar sua compatibilidade com os objetivos da LaFinteca e com as condições de mercado.

The English translation of this document is coming soon. If you have questions, please contact compliance@la-finteca.com.