Manual de regras, procedimentos e controles internos

Página1

Manual de Regras, Procedimentos e Controles Internos – BNP Paribas Brasil

MANUAL DE REGRAS,

PROCEDIMENTOS E CONTROLES

INTERNOS

Página2


MANUAL DE REGRAS, PROCEDIMENTOS E CONTROLES INTERNO S

30 de Junho de 2016

1. Introdução

O BNP Paribás Brasil compartilha do entendimento de que reputação e imagem são ativos fundamentais,

notadamente em seu mercado de atuação, desenvolvidos ao longo do tempo e por meio do esforço

diuturno de cada um de seus profissionais. Por essa razão, a observância de rígidos padrões de ética e

conduta é imprescindível para o sucesso dos negócios.

O exercício constante da transparência, probidade, lealdade, idoneidade e a preservação da relação

fiduciária, compõe, ao lado da geração de valor perante os clientes e demais agentes do mercado

financeiro e de capitais, a base que sustenta o modelo de negócio do Banco.

Todos os colaboradores, administradores e sócios deverão agir em “compliance” com as regras,

procedimentos e deveres internos estabelecidos pelo Banco BNP Paribás Brasil.

A área de Compliance é responsável pela adequação, fortalecimento e funcionamento dos sistemas de

controles internos com vistas à mitigação de riscos legais, operacionais e reputacionais. A área

também é responsável pela disseminação da cultura de controles para assegurar o cumprimento da

legislação e regulamentação aplicáveis e das políticas internas e externas que são por ela

supervisionadas.

Uma das principais atividades do Banco BNP Paribás Brasil é relacionada a “administração de carteiras

de valores mobiliários”, atividade esta sujeita a várias normas e diretrizes publicadas pelos órgãos de

regulação e autorregulção como CVM, BACEN, ANBIMA, SUSEP, entre outros.

A administração de carteiras de valores mobiliários é o exercício profissional de atividades relacionadas,

direta ou indiretamente, ao funcionamento, à manutenção e à gestão de uma carteira de valores

mobiliários, incluindo a aplicação de recursos nos mercados financeiro e de capitais por conta do

investidor por meio de fundos de investimento e carteiras administradas.

A Instrução ICVM 558, de 26/03/2015 dispõe dobre o exercício profissional de administração de carteiras

de valores mobiliários, que passou a exigir padrões mais altos de diligência por parte dos

Página3


Administradores de carteiras, que se refletem em regras mais completas sobre conduta, políticas e

procedimentos de controles internos e gestão de riscos a serem observados nas operações realizadas

com valores mobiliários em mercados regulamentados de valores mobiliários.

O objetivo deste documento é descrever as regras, procedimentos e controles internos para os processos

realizados pelo Banco BNP Paribás em relação à atividade de administração de carteira de valores

mobiliários (Administração Fiduciária) em cumprimento das exigências previstas na Instrução CVM 558.

Página4


ÍNDICE

1. OBJETIVO .......................................... ......................................................................................... 5

2. NORMA ....................................................................................................................................... 5

3. DEFINIÇÕES ............................................................................................................................... 5

4. RESPONSABILIDADES ................................. ............................................................................. 5

5. METODOLOGIA PARA GESTÃO DE RISCOS E CONTROLES ..... ............................................. 5

6. REGRAS GERAIS ..................................... .................................................................................. 7

6.1 CONFLITO DE INTERESSES ...................................................................................................... 8

6.2 SIGILO E CONFIDENCIALIDADE ........................ ....................................................................... 9

6.3 BRINDES E ENTRETENIMENTO .............................................................................................. 12

6.4 TREINAMENTO ......................................................................................................................... 13

7. RELAÇÃO COM CLIENTES .............................. ........................................................................ 13

8. SELEÇÃO E AVALIAÇÃO DE PARCEIROS .................. ........................................................... 18

9. ADMINISTRAÇÃO DE CARTEIRAS DE VALORES MOBILIÁRIOS . ......................................... 20

10. SEGREGAÇÃO DE ATIVIDADES................. .............................................................................. 21

11. SEGURANÇA DA INFORMAÇÃO ........................... .................................................................. 23

12. CONTINUIDADE DE NEGÓCIO ................................................................................................. 26

13. OUVIDORIA ............................................................................................................................... 30

Página5


1. OBJETIVO Estabelece as regras, procedimentos e controles internos adotados em relação a atividade de administração fiduciária de carteira de valores mobiliários.

2. NORMA Este documento atende às diretrizes estabelecidas do art. 19 da Instrução CVM n.º 558/15.

3. DEFINIÇÕES “BNPP BR” significa o Banco BNP Paribás Brasil.

“CVM”: significa a Comissão de Valores Mobiliários que é o órgão regulatório do mercado financeiro e de capitais.

“ANBIMA”: significa Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais é o órgão autorregulador que supervisiona as atividades dos participantes do mercado financeiro e de capitais.

“BACEN”: significa Banco Central do Brasil que regula as atividades desempenhadas pelas Insitituições Financeiras e equiparadas.

“SUSEP”: significa Superintendência de Seguros Privados que regula as atividades específica de entidades Seguradoras.

“SPC”: significa Secretaria de Previdência Complementar que é o órgão regulador da atividade de previdência privada.

“Administradores”: são os membros, estatutários ou não, da administração (diretoria e comitês);

“Colaboradores”: são os profissionais que prestam serviços para o Banco BNP Paribás Brasil, que não são Administradores, incluindo, mas não se limitando a, funcionários, assessores, estagiários, menores aprendizes e prestadores de serviços em geral.

4. RESPONSABILIDADES Este manual é direcionado a todos os administradores e colaboradores do Banco BNP Paribás Brasil os quais possuem a responsabilidade so cumprimento das regras e procedimentos estabelecidos.

5. METODOLOGIA PARA GESTÃO DE RISCOS E CONTROLES

5.1 POLÍTICAS E MANUAIS

A cultura de Gerenciamento de Riscos e Controles Internos é complementar às políticas e manuais internos e aborda, de modo abrangente, seus principais riscos, com base em uma metodologia própria que congrega 3 (três) atividades:

Página6


• identificação, avaliação de controles e mensuração do grau de risco para os negócios do Banco;

• elaboração de um plano de ação para implementar controles e mitigar riscos; e

• realização de testes de aderência para verificar que os controles estão adequados.

5.2 SISTEMAS DE CONTROLES

Controle é definido como o conjunto de normas, políticas, procedimentos com o propósito de reduzir a

ocorrência erros com ou sem perdas financeiras ou risco de imagem.

Quanto à natureza, os controles classificam-se em preventivos e detectivos.

Preventivos:

� Normatização Interna : estabelece, por meio das políticas internas e manuais, orientações de

forma organizada, segregada, com controles de execução das atividades e atribuição de

responsabilidades.

� Segregação de Funções : estabelece a segregação das funções, ou seja, a separação das

atividades de execução e autorização em pessoas, seções e/ou departamentos diferenciados.

� Segregação Física: há separação física, com controle restritivo de acesso às áreas críticas,

garantindo a proteção das informações sensíveis.

� Segurança Lógica : restrição de acesso, a fim de prevenir que usuários não-autorizados

obtenham acesso a aplicativos, recursos de sistemas, ambientes de tecnologia e bens de informação.

� Continuidade dos Negócios : Plano de Continuidade das operações em situações de

contingência, possibilitando o processamento de informações e a continuidade das atividades

suportadas por serviços tecnológicos e operacionais.

Detectivos

� Conciliação : os profissionais devem executar, nos processos de maior criticidade, a

confrontação da mesma informação com dados de origens distintas.

� Monitoramento : é realizado acompanhamento contínuo sobre operações e transações

sensíveis, de forma a identificar tempestivamente a existência de erros ou desvios.

� Mensuração Financeira : nem todas as atividades, erros operacionais representam perdas

financeiras. Contudo, todas as ocorrências são registradas, independente de perdas ou não, a fim de

tais ocorrências sejam corrigidas e um plano de ação possa ser implementado.

Página7


6. REGRAS GERAIS Em busca das melhores práticas de mercado, os Administradores, Aolaboradores e quaisquer profissionais envolvidos com as atividades da BNPP BR devem orientar sua conduta no sentido de: � Observar e agir de acordo com a legislação e regulamentação vigentes, bem como com as

políticas internas como um todo, visando a garantir a segurança nas operações e reforçar a credibilidade perante nossos clientes, órgãos reguladores e autorreguladores;

� Realizar operações dentro dos parâmetros aceitos pelo mercado, pela legislação e

regulamentação vigentes, pelos princípios previstos nos Códigos de Regulação e Melhores Práticas da Anbima e demais códigos de entidades autorreguladoras que são ou venham a ser aplicáveis ao segmento de atuação;

� Realizar atividades e cumprir funções dentro dos limites pré-estabelecidos, abstendo-se de

assumir riscos desconhecidos ou riscos e obrigações que extrapolem sua alçada de atuação, sem a devida autorização prévia;

� Em caso de dúvidas sobre ações ou condutas que potencialmente possam gerar prejuízos à

sociedade com quem mantém vínculo, seus acionistas, clientes e/ou parceiros, recorrer sempre ao superior imediato ou, na sua ausência, ao responsável pela área de Compliance;

� Respeitar a autonomia, as limitações e as responsabilidades do cargo para recomendação de

investimentos a clientes e parceiros, questões de ordem estratégica e visão oficial de mercado, não oferecendo declarações para as quais não estiver autorizado;

� Zelar pela aplicação de medidas preventivas e de mitigação de riscos, incluindo medidas

contra fraudes e de prevenção à lavagem de dinheiro, de acordo com as diretrizes, políticas e controles internos;

� Observar a confidencialidade de informações sensíveis, mantendo-as restritas ao ambiente de

trabalho da sociedade com quem mantém vínculo. O sigilo de informações é condição fundamental para o desenvolvimento dos negócios;

� Informar aos clientes, de forma correta, compreensível, completa, fundamentada e tempestiva,

as condições e os riscos envolvidos na administração fiduciária, bem como riscos inerentes as operações com os fundos de investimento, de forma a fornecer subsídios suficientes para a tomada de decisões com liberdade e segurança;

� Oferecer aos clientes as informações e documentação pertinentes à gestão de seus

investimentos, periodicamente, de forma a preservar os interesses do cliente, garantir a transparência, em especial no que se refere a potenciais conflitos de interesses, bem como cumprir com a legislação e regulamentação aplicáveis;

� Abster-se de qualquer tipo de negociação com base em boatos e rumores relacionados ao

mercado financeiro e de capitais, nacional ou internacional, sob pena de comprometer a imagem da Instituição perante clientes e órgãos reguladores e autorreguladores;

Página8


� Não realizar ou participar de operações no mercado financeiro e de capitais utilizando informações privilegiadas, sensíveis ou que atentem contra as posições e interesses da Instituição;

� Buscar atualizar e aprimorar constantemente seu conhecimento, qualificações e certificações

técnicas necessárias para a execução das atividades que lhe são atribuídas, principalmente as atividades ligadas ao mercado financeiro e de capitais quanto das exigências legais, regulatórias e políticas internas;

� Fazer uso de bom senso na apresentação pessoal, evitando a utilização de trajes inadequados,

quando no exercício de suas funções nas dependências da Instituição ou mesmo em ambientes externos que requeiram apresentação pessoal na condição de profissional do BNPP BR;

� Estabelecer parcerias estratégicas com instituições de reconhecida idoneidade e reputação,

visando à preservação da imagem da Instituição, sempre de estrito acordo com a legislação e regulamentação aplicáveis;

� Reconhecer erros e falhas decorrentes das atividades de trabalho, de forma proativa e positiva,

transformando-os em oportunidades de melhoria. Nenhum tipo de erro ou falha deve ser ocultado ou omitido.

6.1 CONFLITO DE INTERESSES

O BNPP BR deve atuar em perfeita conformidade com a lei, regulamentos e boas práticas de mercado, preservando os preceitos que regem as atividades do Banco. Os administradores e colaboradores devem basear suas decisões e ações visando ao interesse da instituição, evitando, portanto, possíveis e potenciais conflitos de interesse. Conflitos de interesses podem surgir de diferentes relacionamentos advindos das atividades comerciais assumidas pela Instituição. Tais conflitos surgem quando os interesses pessoais do administrador ou do colaborador interferem ou conflitam, não importando de que maneira, com os da empresa a que estão vinculados, com os de clientes ou ainda com aqueles de administradores e colaboradores de outras áreas ou da Instituição. Os conflitos podem afetar julgamentos e decisões de administradores e colaboradores, podendo consequentemente ameaçar a reputação e negócios do BNPP BR. Assim, todo conflito, ainda que aparente, deve ser evitado. Todos os conflitos de interesse existentes ou suspeitos deverão ser comunicados ao respectivo gestor da área e à área de Compliance.

Exemplos :

� Posição corporativa : obter vantagens pessoais em razão do seu relacionamento com as áreas da Instituição ou se valer desse relacionamento para obter tal vantagem. O colaborador também não poderá receber tratamento preferencial de fornecedores, prestadores de serviços ou clientes, a não ser que tal tratamento preferencial esteja disponível, nos mesmos termos, a todas as pessoas em

Página9


situação similar (ex: convênios com restaurantes, escolas, dentre outros). � Conflitos entre Colaboradores : Os relacionamentos pessoais entre colaboradores não podem interferir na sua capacidade de buscar sempre o melhor para a Instituição e parra seus clientes, ou em favorecimento pessoal advindo de Informações Confidenciais e/ou Informações Privilegiadas. São vedados vínculos financeiros como a contratação de empréstimos ou prestação de garantias entre administradores, colaboradores e com familiares destes.

� Atividades cívicas: Os colaboradores podem se envolver em atividades cívicas desde que de forma independente do BNPP BR e sem qualquer vínculo com ele, de forma que o nome da Instituição não seja usada em tais atividades. As atividades não poderão, tampouco, atrapalhar o desenvolvimento das atribuições dos colaboradores na Instituição.

� Atividades extras/complementares : Todos que desenvolverem, mesmo que esporadicamente, algum trabalho paralelo, cujas atividades estejam ou não ligadas às atividades do Banco e ao mercado financeiro e de capitais de modo geral, deverá informar a área de Compliance sobre o desenvolvimento desse trabalho, para que a área possa avaliar a existência de possíveis conflitos de interesses, restrições ou limitações. As atividades externas de qualquer tipo em que os colaboradores estiverem envolvidos não podem interferir no exercício de suas funções, na performance das atividades internas e nas responsabilidades dentro da Instituição, tampouco conflitar, ainda que aparente ou potencialmente, com os interesses dela. O colaborador deve estar alerta para esses conflitos e estar ciente de que poderá ser solicitado a descontinuar tal atividade, sem qualquer tipo de indenização ou reembolso. A regra vale ainda para atividades desempenhadas para Organizações Não Governamentais (ONG), entre outras formas de associação, assim como para outras atividades não remuneradas. É vedado praticar atos e atividades externas que possam resultar em compensação, remuneração ou outro benefício em competição com o seu empregador a não ser que obtenha consentimento.

6.2 SIGILO E CONFIDENCIALIDADE

Todos (administradores e colaboradores), no âmbito de suas responsabilidades, devem manter sigilo sobre todas e quaisquer informações e documentos, sejam de clientes, potenciais clientes ou outros equivalentes, que não sejam de domínio público, obtidas por qualquer meio, em decorrência ou conexão com o desenvolvimento de suas atividades profissionais. No Brasil, a Lei Complementar nº 105 de 10/01/2001 estabelece que, todas as informações confidenciais devem ser protegidas de divulgação não autorizada. A divulgação de tais informações é proibida para pessoas não autorizadas ou pessoas que façam uso impróprio das mesmas, em benefício próprio ou de terceiros. Em nenhuma hipótese, qualquer informação obtida em decorrência do exercício de cargo ou da prestação de serviços para o Banco BNP Paribas BNP Paribas e, inclusive após o término de relação empregatícia ou contrato, poderá ser divulgada, obrigando se a manter total e absoluto sigilo de todas as informações a que tiveram acesso. Nenhum elemento tal como nome de clientes, condições, fichas, arquivos informatizados ou papéis relativos a clientes ou operações do Banco BNPP BR deve ser divulgado.

Página10


Classificação das informações

Todas as informações devem ser classificadas quanto a sua criticidade, o que determinará seu tratamento nos processos, sistemas, armazenamento e divulgação, para assegurar que a informação tenha o nível adequado de proteção. As possíveis classificações para a informação são:

• Pública: Informações que podem ser de conhecimento público e divulgada ao mercado, tais como análises econômicas, balanços publicados, produtos e serviços que a Instituição fornece, material de marketing e informações institucionais.

• Interna: Informações que dizem respeito as práticas internas da Instituição e que expõem seu funcionamento quando divulgadas ao público externo. Quando divulgadas ao público interno, não.

• Informações Confidenciais: são todas e quaisquer informações que não são de conhecimento público e que tenham ou possam ter natureza sigilosa e importância econômica, comercial, pessoal ou qualquer outra, cuja divulgação possa acarretar danos, independentemente do meio ou forma de transmissão, tais como:

(i) qualquer informação que não tenha sido tornada de conhecimento público e que seja obtida de maneira confidencial, em consequência da ligação profissional ou pessoal mantida com clientes, investidores, colaboradores de outras sociedades (analisadas ou investidas), ou com terceiros ou da condição de funcionário;

(ii) informações que o investidor considera importante para a tomada de decisão de compra ou venda de valores mobiliários, incluindo, por exemplo, informações confidenciais sobre planos de aquisição de outra companhia, aliança estratégica, resultados financeiros, descobertas de produtos, mudanças na estrutura de capital ou acordos importantes; e

(iii) informações verbais ou documentadas referentes a resultados operacionais de sociedades, alterações societárias (fusões, cisões e incorporações), informações sobre compra e venda de empresas, títulos ou valores mobiliários, e qualquer outro acontecimento caracterizável como confidencial de uma sociedade.

Por representarem vantagens competitivas, todas as informações internas que não são de domínio público, constituem Informações Confidenciais e, portanto, são de propriedade do BNPP BR, incluindo, mas não se limitando as seguintes informações:

(i) investimentos e dados cadastrais de clientes ou potenciais clientes;

(ii) planos e estratégias de negócios;

(iii) modelos financeiros e produtos;

(iv) transações com quaisquer contrapartes;

(v) sistemas de tecnologia;

(vi) análises de crédito;

(vii) informações financeiras, técnicas, administrativas e mercadológicas;

(viii) atos e fatos relevantes a que os funcionários tiveram acesso e ainda não são de conhecimento público, observado o disposto na regulamentação vigente;

(ix) atividades praticadas no mercado financeiro e de capitais; e

(x) aplicativos, tecnologias e metodologias desenvolvidas ou em uso no Banco BNP Paribas.

Página11


Todas as informações disponibilizadas de forma escrita ou oral, por qualquer meio ou suporte, são Informações Confidenciais e devem ser armazenadas em locais de acesso restrito, limitado apenas e tão somente aos Administradores e aos Colaboradores que de fato necessitem de tais dados para a condução de seus trabalhos. • Informações Privilegiadas (price sensitive ou material non public information): são informações confidenciais e de natureza relevante, ainda não divulgadas ao mercado, capazes de propiciar ao seu detentor, ou a terceiro, vantagem indevida na negociação de valores mobiliários. Estas informações podem, ainda, alterar ou influenciar a cotação de valores mobiliários ou a decisão de investidores. Incluem-se nesse conceito as informações relativas a operações no mercado de capitais (emissão de dívida/ações), operações societárias de transformação, fusão, aquisição e cisão, incorporações, resultados operacionais ou, ainda qualquer outro fato que seja objeto de acordo de confidencialidade. É vedado utilizar o cargo, posição ou influência para ter acesso a Informações Confidenciais ou Informações Privilegiadas e utilizá-las em benefício próprio ou de terceiros. Todo e qualquer profissional que tiver acesso a uma informação caracterizada como privilegiada deverá informar imediatamente à área de Compliance, não devendo divulgá-la a ninguém, nem mesmo a outros profissionais da Instituição, nem utilizá-la, seja em benefício próprio ou de terceiros. Caso haja dúvida sobre o caráter privilegiado da informação, deve-se consultar a área de Compliance. Todo aquele que tenha acesso a uma informação privilegiada deverá restringir ao máximo a circulação de documentos e arquivos que contenham essa informação.

DAS INFORMAÇÕES

Todos devem solicitar autorização prévia ao seu superior imediato e/ou da área de Compliance para qualquer atividade que não fizer parte de suas atribuições, tais como: � Carregar para fora das dependências da Instituição qualquer material que contenha

Informações Confidenciais e/ou Informações Privilegiadas de clientes ou operações;

� Copiar ou reproduzir qualquer tipo de arquivo que diga respeito aos clientes ou atividades do Banco BNP Paribas;

� Transferir ou transmitir para quaisquer outras pessoas informações de clientes ou operações

por qualquer meio de comunicação. Além disso, os dados devem responsabilizar-se pela guarda dos documentos relativos à sua atividade e certificar-se de que: � Documentos de qualquer espécie não sejam deixados sobre mesas, copiadoras, ou de

qualquer forma expostos a outros funcionários ou terceiros em trânsito pela empresa; � Garantir que documentos e papéis contendo informações confidenciais e privilegiadas sejam

descartados/destruídos adequadamente, utilizando triturador; � Documentos com Informações Confidenciais ou Informações Privilegiadas fiquem em arquivos

trancados; � O acesso às dependências do BNPP BR e suas áreas sejam restritos ao pessoal autorizado;

Página12


� Não utilizar o acesso para permitir a entrada de pessoas não autorizadas às dependências da Instituição e suas áreas; e

� Não ceder a terceiros, em nenhuma hipótese, o crachá funcional.

DESCARTE DE DOCUMENTOS E MÍDIAS

Todos os documentos em papel e em mídias eletrônicas, quando não mais necessários, devem ser

descartados de acordo com a classificação da informação contida nele. O objetivo é prevenir a

divulgação não autorizada de informações destes documentos e mídias.

6.3 BRINDES E ENTRETENIMENTO

Nenhum presente, brinde ou entretenimento deve ser aceito ou oferecido se isto for passível de ser

entendido, por uma terceira parte independente, que o empregado do BNPP BR ou o cliente, estão sendo

influenciados na condução dos negócios.

As orientações abaixo devem ser seguidas para fins de oferecimento ou recebimento de presentes,

brindes e entretenimentos:

• Presentes ou brindes acima de US$ 100,00 (cem dólares norte-americanos) ou o seu valor

equivalente em Reais, não podem ser oferecidos ou aceitos sem a aprovação da Compliance do

BNPP BR.

• Almoços e jantares com clientes devem ser devidamente aprovados pelos gestores e não devem

ser de valores e de constância que possam ser classificados como inapropriados;

• O responsável da área deve assegurar que haja um registro formal de todos os presentes ou

brindes recebidos pelos empregados sob sua supervisão. O formulário específico deve ser

preenchido e assinado para fins de registro e sujeitos a aprovação da Compliance quando se

fizer necessário.

• Presentes, brindes e entretenimentos devem ser utilizados exclusivamente com o propósito de

estimular e promover os negócios do BNPP BR;

• Os empregados não devem aceitar nenhum presente, brinde ou entretenimento, que possa

influenciar suas decisões ou sentir-se em débito com o cliente;

• Sob nenhuma circunstância, o empregado deve endereçar o recebimento de qualquer presente

ou brinde em seu endereço residencial ou de entregar qualquer presente ou brined para o

endereço residencial do cliente, sem a prévia aprovação da Compliance do BNPP BR;

• empregado não deve oferecer presentes, brindes ou entretenimento, que possa ser considerado

como um excesso em termos de freqüência, ou que possa influenciar o comportamento do

cliente, ou fazer o cliente se sentir em débito com o BNPP BR;

Página13


• Descontos ou reembolsos em produtos ou serviços não devem ser aceitos se eles forem acima

da média daqueles disponibilizados para outros clientes;

• Os empregados estão proibidos de aceitar ou oferecer dinheiro em qualquer valor.

Qualquer conduta de colaborador que venha a não observer as regras acima, devem ser comunicados à

área de Compliance.

6.4 TREINAMENTO

Os administradores e colaboradores, por meio da implantação e manutenção de programa de treinamento, obtem o conhecimento necessário para no desempenho de suas funções, cumprirem as normas de conduta, segregação de atividades, confidencialidade e segurança das informações, estabelecidas para aqueles envolvidos na atividade de Administração Fiduciária (administração de carteira de valores mobiliários) principalmente aos que possuem acesso a informações confidenciais e ou privilegiadas. A área de Compliance é responsável pela elaboração e manutenção do conteúdo do treinamento, bem como a aplicação e o controle deste treinamento a todos os administradores, e colaboradores, cabendo a estes últimos, o cumprimento dos requerimentos contidos no treinamento. Todos os administradores e colaboradores, ao serem contratados recebem treinamento presencial aplicado pelo funcionário da área de compliance. O treinamento abrange os temas relacionados às políticas e procedimentos adotados tais como regras estabelecidas no Código de Ética, Confidencialidade, Investimentos Pessoais, Segregação de Atividades, Conflito de Interesse, Tecnologia da Informação, Risco Operacional, Normas de conduta, Sustentabilidade, Responsabilidade Social e Ambiental, Segurança da informação, Prevenção a Lavagem de dinheiro entre outros. Após ciência do conteúdo do material, deverá ser assinado o Termo de adesão e ciência ao Código de Ética e Conduta.

7. RELAÇÃO COM CLIENTES

7.1 CADASTRO E RENOVAÇÃO DE CLIENTES De acordo com o Código de Ética, informações sobre clientes não devem ser fornecidas a terceiros, exceto se exigidas por ordem judicial emanada por juiz competente ou solicitadas por autoridades regulatórias. Em qualquer caso, o cliente deverá ser informado do requerimento da autoridade. As informações também poderão ser divulgadas a terceiros caso o cliente forneça expressa autorização, por escrito, para a divulgação. Para o cadastramento de contas de clientes no BNPP BR é obrigatória a completa identificação do cliente, através do preenchimento da Ficha Cadastral com as informações e a entrega de documentos, de acordo com a qualificação do cliente.

Página14


A abertura da conta do cliente com seu respectivo número de conta será efetivada após a Área de Cadastro receber e validar os documentos e informações definidas para o Cadastramento de Conta de Clientes, incluindo o KYC & CAC aprovados pela Compliance. Quando se tratar de pessoa jurídica, as informações cadastrais deverão abranger as pessoas físicas autorizadas a representá-las, bem como seus controladores. Deve ser mantidos controles e registros internos consolidados que permitam verificar, além da adequada identificação do cliente, a compatibilidade entre a correspondente movimentação de recursos, atividade econômica e capacidade financeira; A consulta ao site da Receita Federal é realizada pela Área de Cadastro, por ocasião da abertura da conta, sendo que para CPF e CNPJ cancelados a abertura da conta é rejeitada. A consulta à SERASA poderá ser feita de acordo com a necessidade, a partir de solicitação específica da Área de Compliance ao Depto. de Cadastro. O conhecimento de restrições cadastrais deve ser comunicado pelo Depto de Cadastro à área de Compliance. Gerente da Conta é o responsável pela conferência das informações e dos elementos de identificação e localização constantes na ficha cadastral à vista dos documentos competentes. As cópias dos documentos a serem mantidas junto à ficha cadastral devem estar legíveis e em bom estado de conservação. Deve ser atualizadas as informações cadastrais dos clientes, observadas, quando for o caso, as exigências e responsabilidades definidas na Resolução CMN nº 2.025 de 24/11/93 e Circular BACEN nº 3.461/09; As informações cadastrais dos clientes devem ser atualizadas periodicamente em intervalos não superiors a 24 meses ou sempre que ocorrer evento relevante que demande a atualização. Cabe à Área de Cadastro da Instituição, definir os procedimentos para o cumprimento dessa responsabilidade.

A conta pode ser encerrada a qualquer momento a pedido do cliente ou por iniciativa do Gerente de Conta do BNPP BR responsável pelo cliente. A solicitação de encerramento de conta por iniciativa do cliente, deve ser feita por escrito e endereçada ao Depto de Cadastro. MANUTENÇÃO DA DOCUMENTAÇÃO Cadastro e registros devem ser mantidos e conservados durante o período mínimo de 5 (cinco) anos contados a partir do primeiro dia do ano seguinte ao do encerramento das contas correntes ou da conclusão das operações A ficha cadastral e toda documentação respectiva, deve ser armazenada em arquivo ou microfilme e mantida até 5 (cinco) anos após o encerramento da conta.

7.2 CONHEÇA O SEU CLIENTE (KYC – KNOW YOUR CUSTOMER )

Procedimentos básicos para Conhecer o Seu Cliente :

• a abertura de nova conta deve atender a todas as exigências documentais e de dados, definidas pela área de Cadastro;

Página15


• no caso de pessoas físicas, deve-se visitar os clientes em seu escritório comercial, para constatar a natureza de suas atividades e fontes de receita. Dessas visitas deverão ser gerados relatórios específicos que integrarão o dossiê cadastral; e

• para clientes pessoas jurídicas, deve-se visitar a empresa, observando a linha de

produção/serviços, analisando as instalações, o volume de produção/serviços e os equipamentos, montando um quadro detalhado de sua atividade, escala e geração de receita plausível, gerando-se o mesmo relatório descrito no item anterior.

Formulário e avaliação de KYC Toda conta de cliente deve possuir um KYC próprio elaborado pelo Gerente de Conta responsável pelo cliente, a partir das informações obtidas nas visitas e reuniões mantidas com o mesmo e que foram cuidadosamente avaliadas e verificadas pelo Gerente de Contas, principalmente no que diz respeito à boa idoneidade e boa origem dos recursos financeiros do cliente. O formulário de KYC deve ser preenchido conforme modelo previamente aprovado e de acordo com o segmento e a natureza do cliente, em versão eletrônica ou manual. Concluída a elaboração do KYC pelo Gerente de Conta, o mesmo é inicialmente submetido à aprovação do Diretor Responsável da área de negócios ou pessoa por ele designada e enviada posteriormente para a avaliação e aprovação ou não da Área de Compliance. A recusa o ou não aprovação do KYC é imediatamente comunicada pela área de Compliance ao Gerente de Contas, com os motivos da devolução e as providências a serem tomadas, quando aplicável.

Revisão do KYC O KYC deve ser revisado de acordo o resultado do “scoring grid” do cliente, que determina o seu perfil de risco (alto, médio ou baixo) e, por conseguinte o prazo de revisão do KYC, definido pelo segmento de negócio.

7.3 SUITABILITY - PERFIL DE INVESTIDOR

Suitability significa adequação e no contexto financeiro, representa adequar produtos financeiros compatíveis com o perfil de risco do investidor. O BNPP BR na condição de instituição financeira deve oferecer aos seus clientes, produtos financeiros compatíveis com o perfil de risco do cliente e de acordo com os objetivos de curto, médio e longo prazo do cliente. Com relação às recomendações de investimento, os colaboradores envolvidos nessa atividade devem observar as seguintes regras: � Obter previamente informações do conhecimento do cliente sobre o mercado financeiro e de

capitais em matéria de investimentos, objetivos do investimento, sua situação financeira, horizonte de tempo, tolerância a riscos e necessidade de liquidez através do questionário de apuração do perfil de investidor (“Questionário Suitability”), o qual deve ser preenchido no momento da abertura cadastral, no recadastro do cliente, na atualização do questionário Suitability ou a qualquer momento que o cliente solicitar;

Página16


� Informar aos clientes ou interessados o formato básico e os princípios gerais do processo de investimento, por meio dos quais os ativos são selecionados e as carteiras são constituídas e informar quaisquer mudanças significativas que afetem esses processos;

� Informar aos clientes imediatamente quando da ocorrência de desenquadramento de sua

posição/portfólio em relação ao seu perfil de investidor, apresentando a opção de apuração de um novo perfil de investidor e a assinatura do termo de ciência; e

� Atualizar em prazo não superior a 02 anos o Questionário Suitability dos clientes. No momento da aplicação de recursos por parte do investidor, nos fundos de investimento, não poderá prosseguir com o investimento o cliente que (i) possuir classificação de perfil de investidor não adequada ao perfil de risco do investimento pretendido; (ii) não fornecer as informações que permitam identificar o perfil de investidor; ou (iii) esteja com as informações relativas ao perfil de investidor (Questionário Suitability) desatualizadas. Caso o cliente ordene a realização de investimentos para os quais seu perfil de investidor é inadequado, ou se o Questionário Suitability estiver desatualizado ou o cliente não possuir perfil de investidor apurado, o colaborador responsável deverá, antes da operação, (i) alertar o cliente acerca da ausência ou desatualização de perfil ou da sua inadequação, com a indicação das causas da divergência, e (ii) obter declaração expressa do cliente de que deseja manter a decisão de investimento nesta categoria de ativo, mesmo estando ciente da ausência, desatualização ou inadequação de perfil. A despeito do acima referido, é vedada a aplicação de recursos em fundos de investimento para os quais o cliente possui perfil não adequado ao perfil de risco do fundo pretendido, ou que esteja com o “questionário suitability” desatualizado ou que não forneça as informações que permitam a identificação do perfil de investidor. O preenchimento do questionário de suitability é de responsabilidade do Gerente de Contas responsável pelo cliente, tendo em vista suas obrigações já existentes em relação à aplicação da política de “Conheça o Seu Cliente”. O questionário com a atribuição do perfil de risco do cliente deverá ser assinado pelo Gerente de Contas e enviado à área de Cadastro para compor o dossiê do cliente

Perfil de Risco do Cliente Os clientes deverão ser classificados por perfil de risco, obtido a partir das informações obtidas no questionário de “suitability”, com perguntas que permitam avaliar a sua tolerância a riscos. Serão utilizados os seguintes perfis de risco:

• Conservador • Moderado • Avançado

O questionário deve, obrigatoriamente, indicar um perfil de risco compatível com o produto desejado, para que a transação seja efetivamente contratada.

7.4 PREVENÇÃO A LAVAGEM DE DINHEIRO

Página17


Lavagem de dinheiro é o processo criminoso em que os ganhos de atividades ilegais são transformados em ativos com origem aparentemente legal. Essa prática geralmente envolve múltiplas transações, usadas para ocultar a origem dos recursos e permitir que eles sejam utilizados sem identificar os autores. A dissimulação é, portanto, a base de todo crime de lavagem, na medida em que sempre envolve recursos provenientes de um crime antecedente. Os crimes relacionados à lavagem de dinheiro que antes estavam restritos a determinadas regiões, se espalharam para além das fronteiras nacionais, desestabilizando sistemas financeiros e comprometendo atividades econômicas. O BNPP BR engajado no processo de combate ao crime de lavagem de dinheiro, estabeleceu um conjunto de normas e procedimentos visando a prevenção e o combate à lavagem de dinheiro, bem como implementou dispositivos de controles internos, que atribuem responsabilidades a todos os empregados, independente do nível hierárquico.

Os dispositivos de controles internos e os procedimentos que devem ser rigorosamente observados e aplicados, por todos que direta ou indiretamente tenham acesso a realização ou ao tratamento das operações devem ser observados durante todo o período em que perdurar o relacionamento com o cliente ou a sua operação, e não somente no momento de seu ingresso no BNPP BR. Estes dispositivos de controles internos estão suportados da seguinte forma: 1 Cadastramento e Abertura de Contas de Clientes no BNPP BR;

2 Responsável pelo Relacionamento (Relationship Manager-SBO);

3 “Conheça o Seu Cliente” (KYC – Know Your Customer);

4 Definição de Capacidade Financeira de Clientes do Wealth Management;

5 Sistema de Monitoramento e Análise de Operações de Clientes (AML);

6 Monitoramento de Operações de Países Sensíveis e Não Cooperantes e Listas; Restritivas;

7 O Dever da Comunicação;

8 Treinamentos; e

8 Conheça seu Funcionário (KYE – Know Your Employee). Avaliação das operações As operações analisadas pela área de Compliance visam assegurar a normalidade e compatibilidade das operações realizadas pelos clientes e levam em conta, principalmente, o tipo de produto ou operação, se é de renda fixa ou de renda variável, se foi realizado em mercado organizado ou de balcão, se a forma de liquidação financeira na aplicação ou no resgate foi realizada com recursos do próprio cliente ou envolveu recursos de terceiros.

As situações acima são analisadas e comparadas com a capacidade financeira presumida, o histórico de movimentação financeira (quando aplicável) e o perfil definido para o cliente, principalmente com base nas informações do KYC.

As inconsistências ou incompatibilidade encontradas resultam em análise mais detalhada da operação, ficando as informações mais relevantes, registradas no sistema de monitoramento e em relatório mensal.

Para os casos considerados mais sensíveis é feito um dossiê completo da operação, com cópias dos documentos considerados mais relevantes para a análise da operação, e emitido o documento denominado “Deliberações” no qual consta o motivo da deliberação, as análises efetuadas e a conclusão do caso.

Página18


Comunicação ao COAF Nas deliberações dos casos considerados mais críticos onde permanecem os indícios de suspeição, a decisão de fazer a comunicação da operação ao COAF é tomada com a participação do Diretor Responsável de PLD. Condições para comunicação A comunicação de operações ou propostas de operações com indícios de crime de lavagem de dinheiro deverão ser realizadas observadas as seguintes condições:

• de valor igual ou superior a R$ 10.000,00 (Dez mil Reais); • até o dia útil seguinte ao da verificação de suspeição; • não deve ser dada ciência aos envolvidos; e • a comunicação de boa fé, não acarreta responsabilidade civil ou administrativa às instituições

financeiras e demais entidades, seus controladores, administradores e empregados.

8. SELEÇÃO E AVALIAÇÃO DE PARCEIROS

O Banco BNPP BR persegue altos padrões de conduta em negócios, integridade e confiança, tanto internamente como externamente com os terceiros contratados com os quais faz negócios.

8.1 Seleção de Gestores

Com o objetivo de selecionar instituições que possuam experiência na condução de estratégias

voltadas para a promoção de bons resultados e proteção dos investimentos, atuando de forma ética e

legal na atividade de Gestão de recursos, tais Gesores de recursos são selecionados de acordo com os

seguintes requisitos:

� ser aprovado na análise quanto ao tema de Prevenção à Fraude e Lavagem de Dinheiro;

� possuir excelência em classes de ativos ou em estilos de gestão específicos;

� qualidade de execução, retaguarda tecnológica e suporte operacional;

� possuir experiência comprovada através de registro nos órgãos reguladores;

� inexistência de pendências relevantes junto aos órgãos reguladores;

� adotar procedimentos consoantes às diretrizes do Código de Ética e Conduta;

� possuir área de Controle de Riscos que avalie seu desempenho na gestão dos riscos;

� possuir área de Compliance estruturada e definida e com expertise para a análise de

processos para controle de riscos de mercado, de crédito, de liquidez e operacional,

questões relacionadas à segurança da informação, mitigação de fraudes e política de planos

de contingência;

� possuir qualidade e experiência comprovadas no currículo dos gestores de recursos;

Página19


� rigorosa observância a todas as leis e regulamentos aplicáveis às suas atividades e ter

aderido ao Código de Autorregulação da Anbima;

� assegurar a melhor combinação de preços e execução dos serviços, com o objetivo de que os

clientes sejam tratados de forma justa e sem conflitos de interesses

8.2 Seleções de Prestadores de Serviços

Os critérios para escolha de prestadores de serviços incluem, mas não estão limitados aos seguintes:

� experiência e autorização para atuação;

� qualidade de execução, retaguarda tecnológica e suporte operacional;

� inexistência de pendências relevantes junto aos órgãos reguladores;

� em casos de atividades específicas, como custodiante, controlador, agentes autônomos

de investimento, corretoras de títulos e valores mobiliários, entre outros, existência de

autorização para a atividade em questão, emitida pelo órgão regulador competente;

� custo do serviço prestado deve ser atraente e competitivo;

� aderência a normas e métodos de controle interno que reduzam o risco operacional e

proporcionem plena garantia aos serviços oferecidos;

� rigorosa observância a todas as leis e regulamentos aplicáveis às suas atividades;

� se e conforme aplicável, para os Agentes Autônomos de Investimento (AAI’s), aprovação

quanto ao tema de Prevenção à Fraude e Lavagem de dinheiro e pela área de

Compliance através da aplicação de due diligence.

Além dos requisitos acima citados, especificamente para as Corretoras de Títulos e Valores Mobiliários,

serão observadas as seguintes diretrizes e responsabilidades:

� estar habilitada perante a CVM e a BM&FBovespa para prestação de serviços de

corretagem;

� não contribuir para a veiculação ou circulação de notícias ou de informações imprecisas e

irregulares sobre os títulos e valores mobiliários negociáveis e respectivos emissores,

tampouco sobre as operações realizadas pela Instituição;

� manter sigilo absoluto sobre as operações realizadas;

� manter os registros e documentos relativos à comprovação do recebimento, transmissão e

execução das ordens recebidas;

� cumprir fielmente os dispositivos legais e regulamentares aplicáveis aos negócios realizados

em Bolsa de Valores;

� não ter registro de infrações e faltas graves perante a CVM;

� cumprir fielmente as regras e parâmetros relativos ao recebimento, registro, prazo de

Página20


validade, execução, distribuição e cancelamento das ordens recebidas; e

� ter gravação telefônica de todas as ligações realizadas com a mesa de operações.

9. ADMINISTRAÇÃO DE CARTEIRAS DE VALORES MOBILIÁRIO S A administração de carteira de valores mobiliários consiste na gestão profissional de recursos ou valores mobiliários, entregues ao gestor ou ao administrador, com autorização para que este compre ou venda títulos e valores mobiliários por conta do cliente. A Administração Fiduciária compete o exercício profissional de atividades relacionadas, direta ou indiretamente ao funcionamento, à manutenção de carteiras de valores mobiliários por pessoa jurídica autorizada pela CVM. Todo administrador deve exercer suas atividades com boa fé, transparência, diligência e lealdade em relação aos seus clientes. Além disso, o Administrador de carteira de valores mobiliários deve:

� desempenhar suas atribuições de modo a buscar atender aos objetivos de investimento de seus

clientes;

� adotar princípio de boa-fé, transparência, diligência e lealdade em relação aos seus clientes;

� agir de maneira proativa diante de uma situação de conflito de interesse, informando aos seus clientes que está agindo em conflito de interesses e as fontes desse conflito;

� evitar práticas que possam ferir a relação fiduciária mantida com seus clientes;

� manter atualizada, em perfeita ordem e à disposição do cliente, na forma e prazos

estabelecidos em suas regras internas e na regulação, toda a documentação relativa às operações com valores mobiliários integrantes das carteiras administradas nas quais o cliente seja investidor;

� contratar serviço de custódia ou certificar que sejam mantidos em custódia, em entidade

devidamente autorizada para tal serviço, os ativos financeiros integrantes das carteiras sob sua administração, tomando todas as providências úteis ou necessárias à defesa dos interesses dos seus clientes;

� transferir à carteira qualquer benefício ou vantagem que possa alcançar em decorrência de

sua condição de administrador de carteiras de valores mobiliários; � informar à CVM sempre que verifique, no exercício das suas atribuições, a ocorrência ou

indícios de violação da legislação que incumbe à CVM fiscalizar, no prazo máximo de 10 (dez) dias úteis da ocorrência ou identificação.

É vedado ao administrador de carteira de valores mobiliários:

Página21


� atuar como contraparte, direta ou indiretamente, em negócios com carteiras que administre, exceto: (i) na administração de carteiras administradas com autorização prévia e por escrito do cliente ou (ii) quando, embora formalmente contratado, não detenha, comprovadamente, poder discricionário sobre a carteira e não tenha conhecimento prévio da operação;

� modificar as características básicas dos serviços que presta sem a prévia formalização

adequada nos termos previstos no contrato e na regulação;

� fazer propaganda garantindo níveis de rentabilidade, com base em desempenho histórico da carteira ou de valores mobiliários e índices do mercado de valores mobiliários;

� fazer quaisquer promessas quanto a retornos futuros da carteira;

� contrair ou efetuar empréstimos em nome de clientes;

� prestar fiança, aval, aceite ou coobrigar-se sob qualquer outra forma em relação aos

ativos administrados;

� negociar com os valores mobiliários das carteiras que administre com a finalidade de gerar receitas de corretagem ou rebate para si ou para terceiros; e

� negligenciar, em qualquer circunstâncias, a defesa dos direitos e interesses do cliente.

10. SEGREGAÇÃO DE ATIVIDADES As regras descritas a seguir disciplinam a política de segregação adotada e aplicável a todos os administradores e colaboradores, discriminando as regras relativas às instalações e equipamentos, com detalhamento dos equipamentos utilizados, redes, telefones e arquivos.

O não cumprimento das regras e procedimentos aqui previstos poderá ensejar aplicação de medida disciplinar. Os administradores e colaboradores poderão ainda ser considerados pessoalmente responsáveis por qualquer ato impróprio ou ilegal cometido durante o período em que mantiver vínculo empregatício. Essa responsabilidade poderá sujeitar o administrador ou colaborador às penalidades civis, criminais ou administrativas aplicáveis.

“Chinese Wall” são designadas para segregar e proteger as informações confidenciais daquelas que são de conhecimento público, para assegurar que o Banco utiliza as melhores práticas no interesse dos seus clientes e para proteger o Banco e seus funcionários contra qualquer tipo de suspeição de uso indevido de informações confidenciais e privilegiadas em benefício próprio ou de terceiros.

DA SEGREGAÇÃO DAS ATIVIDADES DE ADMINISTRAÇÃO DE CA RTEIRAS DE VALORES MOBILIÁRIOS

Página22


Todos os administradores e colaboradores que tiverem suas atividades profissionais relacionadas com a administração de ativos e carteiras de valores mobiliários serão alocados para desempenhar suas funções em local fisicamente segregado dos demais. Para tanto, as atividades voltadas à administração f iduciár ia são desenvolvidas em local próprio, separada em andar específico, segregada das demais áreas da Instituição e possuem portas com controle de acesso. Os acessos fídicos são delimitados pela área de segurança da informação, de acordo com critérios estabelecidos, tais como cargo, atividade, entre outros. As portas deverão ser mantidas sempre fechadas pelos colaboradores, sendo o acesso restrito e controlado mediante uso de crachás eletrônicos individuais. Cada colaborador também é responsável por esse controle, não devendo facilitar ou permitir o acesso de colaboradores não autorizados ao seu ambiente de trabalho.

DA LOCALIZAÇÃO E DO ACESSO

A área de atua na Administração Ffiduciária está localizada na Av Presidente Juscelino Kubischeck, nº 510 – 11º andar – Itaim Bibi, São Paulo/SP. Os administradores e colaboradores somente são habilitados a entrar nas dependências da respectiva área caso seu crachá esteja devidamente habilitado. É proibida a entrada de pessoa não autorizada nas dependências exclusivas da área de Administração Fiduciária.

DAS INSTALAÇÕES/EQUIPAMENTOS E SISTEMAS

Telefones, correio eletrônico, telefones celulares corporativos, sistemas de informática e demais equipamentos de comunicação fornecidos aos administradores e colaboradores pelo Banco, para o exercício de suas funções, independentemente de onde se encontram, bem como informações transmitidas, recebidas ou contidas nos equipamentos eletrônicos de comunicação são de propriedade da respectiva empresa que cedeu o equipamento. Tais equipamentos devem ser usados prioritariamente para fins profissionais, e tal uso deve obedecer às determinações internas. Correio eletrônico (e-mail): A utilização do correio eletrônico disponibilizada aos colaboradores é para fins profissionais, relacionados às atividades dos mesmos dentro da Instituição. É vedado o envio e recebimento de mensagens que possa gerar contingências de qualquer natureza, como por exemplo, divulgar informações confidenciais, privilegiadas ou não autorizadas, imagens de tela, sistemas, documentos e afins sem autorização expressa e formal. Os correios eletrônicos são periodicamente monitoramentos para evitar o uso indevido das informações confidenciais e privilegiadas e práticas indevidas de front-running. Gravação de ramais: todas as ligações telefônicas, geradas ou recebidas, de colaboradores que detenham informações confidenciais e ou pr iv i legiadas são gravadas.

Página23


Equipamentos: Aos administradores e colaboradores são disponibilizados computadores conectados à Internet e com acesso aos sistemas de informação/tecnologia e diretórios de rede, segundo as suas atribuições profissionais e perfis de acesso. O acesso aos computadores ocorre através da sua estação de trabalho individual, mediante o uso de senha eletrônica pessoal e intransferível. Ao se ausentar de sua estação de trabalho, o computador automaticamente ficará bloqueado por tela de proteção e o usuário somente acessará novamente com sua identificação.

DOS TELEFONES E IMPRESSORAS

A área de Administração Fiduciária possui impressoras, linhas telefônicas próprias e exclusivas, de forma a garantir o seu funcionamento autônomo e segregado das outras áreas do Banco. As impressoras possuem leitor de crachás e funcionam apenas quando da aproximação do crachá do usuário ao leitor. Os administradores e colaboradores devem apenas utilizar os telefones destinados à sua área segregada de ocupação, bem como devem informar os clientes, contrapartes, prepostos e fornecedores para apenas ligarem nos números dos aparelhos destinados à sua área segregada.

DOS ARQUIVOS E DIRETÓRIOS DE REDE

A área de Administração Fiduciária possui diretório de rede privativo para o armazenamento exclusivo dos arquivos eletrônicos dos colaboradores de tal área. O acesso a cada diretório é restrito aos colaboradores por área a qual desenvolvem suas atividades, mediante acesso de sua estação de trabalho individual e uso de senha pessoal e intransferível. Tais acessos aos diretórios de rede são concedidos mediante área de atuação, cargo e “perfil de acesso” (leitura, gravação).

11. SEGURANÇA DA INFORMAÇÃO

Relacionados estão algumas das regras e procedimentos estabelecidos:

Acesso internet

A Internet deverá ser utilizada com propósitos profissionais relacionadas ao Banco com o objetivo de

apoio a negócios e desenvolvimento profissional.

Todas as atividades conduzidas através do acesso pela rede BNPP, afetam diretamente a imagem e a

reputação do Banco, portanto os profissionais devem estar em conformidade com:

• Código de ética do BNPP BR;

• Normas e Legislações relacionadas a serviços e sigilos bancários;

• Proteção de copyrights e propriedade intelectual.

Página24


Os acessos a Internet passam por um filtro (Software) atualizado constantemente restringindo o acesso

as páginas e sites cadastrados que não condizem aos negócios do Banco (exemplo: páginas

pornográficas, drogas, racistas entre outras), armazenando-as em registro para evidências.

Proibições

• Uso da Internet para obter vantagens pessoais ou lucrativas a si próprio;

• Acessar sites de pesquisa em nome do BNPP BR sem prévia autorização do superior da área;

• Acessar sites de “CHATS”, “Webmails”, “Messenger” e grupos de relacionamentos;

• Receber arquivos (“Download”) de softwares e/ou programas executáveis diretamente nos diretórios da rede, sem aprovação/autorização do departamento de TI;

• Receber arquivos (“Download”) de softwares sem prévia consulta da área de TI, devido aos controles de Homologação e Licenciamento de Softwares e Versões;

• Utilizar a Internet para apoios políticos e atividades ilegais; e

• Executar programas disponíveis no site (programas grátis).

Senhas de acesso

Com o objetivo de divulgar a forma de uso das senhas para utilização dos sistemas disponibilizados na

rede local do banco. Seguem as formas de uso e proibições:

• As senhas são pessoais e intransferíveis e devem ser mantidas em sigilo.

• A renovação das senhas deve ser realizada conforme definido pelo período de validade definido pela política do sistema.

• Haverá bloqueio da conta do colaborador caso ele exceda o limite de tentativas de acesso. A mesma é definida para cada sistema/aplicativo.

Proibições

• Disponibilizar senha a outros funcionários do banco.

• Utilizar senha de outros funcionários do banco.

• Documentar a(s) senha(s) em meios e locais de fácil acesso como agendas, post-it, papeis e etc.

Correio Eletrônico

Deve ser usado estritamente para uso profissional com o objetivo de apoiar as áreas de negócio, contato com contrapartes e clientes, e para desenvolvimento da função exercida.

Todos os e-mails enviados/recebidos passam automaticamente por um filtro (software) para verificação do conteúdo, podendo inviabilizar ou não o encaminhamento para o destinatário. O software também verifica o tamanho dos arquivos em anexo e rejeita automaticamente aqueles que ultrapassem o limite, informando o usuário caso isso ocorra.

Todos os e-mails gerados são armazenados e são de propriedade do BNP Paribas Brasil, podendo ser abertos a qualquer momento a pedido de ordem superior.

Página25


Em todos os e-mails enviados, figura o nome do BNPP, portanto, o funcionário deve considerar o Código de Ética do BNPP BR.

Proibições

Enviar e/ou receber e-mails com fotos, vídeos e palavras não condizentes aos assuntos do BNPP BR;

Transmitir informação restrita/confidencial/sigiloda, sem autorização.

Computadores

O uso dos computadores do BNPP BR para as atividades dos funcionários devem seguir as seguintes

regras:

• Todas as informações contidas no computador (meio eletrônico) são de propriedade do BNPP por se tratar de ferramenta de trabalho para as atividades exercidas;

• Utilizar o computador para fins profissionais do BNPP com toda a segurança necessária das informações gravadas internamente;

• Fornecer o computador para fins de auditoria, quando este for solicitado pelos setores de Segurança, Auditoria e/ou Tecnologia;

• Manter a configuração instalada pela área de Tecnologia por ser tratar do padrão utilizado no BNPP BR.

Proibições

• Utilizar o computador com a finalidade de obter ganhos particulares;

• Utilizar o computador com softwares não homologados pelo BNPP BRl ou pelo grupo BNP

(Norms & Standards) com exceção de softwares estratégicos autorizados pelos superiores e

avaliados pela área de Segurança;

• Utilizar o computador para transferir dados (Informações) a outro micro fora da rede do BNPP

sem prévia autorização e avaliação da área de Tecnologia e de Segurança;

• Instalar softwares para uso particular;

• Utilizar computador com placa fax/modem conectados na rede do banco;

• Interromper execução de softwares Antivírus instalado no computador.

Sistemas aplicativos

• Todos os usuários devem possuir somente um único “login” de acesso aos sistemas.

Página26


• Visando facilitar a gestão do controle de acesso, bem como melhorar o desempenho das atividades pelos diversos usuários, deve-se uniformizar o modo de acesso a partir de uma senha única (single sign-on).

Segregação de funções aos aplicativos

• A definição do tipo de usuário deve ser atribuída pelo gestor do aplicativo;

• Deve ser concedida aos usuários apenas às permissões realmente necessárias à execução das suas atividades.

Inclusão de Acessos aos Sistemas

Toda inclusão de acesso a sistemas, redes e provedor de e-mail, será requisitada através do sistema SailPoint.

Todos usuários devem possuir um cartão SmartPass para acesso a estação de trabalho.

Bloqueio de Acesso aos Sistemas

Por ocasião de férias, ausências, licenças (ou qualquer outro período na qual o colaborador ficar afastado da companhia) o acesso (login) do funcionário/colaborador aos sistemas do banco (aplicativos, serviços e rede) são informados pelo Recurso Humanos para as devidas ações de bloqueio pela área de Security.

Quando a área de Security identificar usuários sem acesso na rede de sistemas por mais de 7 dias, estes serão bloqueados automaticamente e serão somente liberados após solicitação de seus gestores ao RH ou Procurement e estes nos enviarem o pedido para os devidos desbloqueios.

Cancelamento de Acesso aos Sistemas

Os acessos a Rede, sistemas e e-mail serão desabilitados por ocasião do desligamento/saída do usuário da Empresa e excluídos apos o próximo backup mensal.

12. CONTINUIDADE DE NEGÓCIO

O Plano de Continuidade (PCN) que á a tradução de Business Continuity Plan (BCP), visa resguardar os negócios e garantir a continuidade das atividades de administração fiduciária. O plano tem por objetivo minimizar os efeitos de situações de ameaças, tentativas e/ou efetiva interdição de acesso ou paralisação das atividades do edifício-sede, como resultado de desastres, ameaças de incêndio ou outros tipos de bloqueios de acesso, até o retorno à situação normal das atividades.

I - Princípios Corporativos O plano de continuidade das atividades (BCP) organiza soluções para continuar a sua atividade no caso em que esta é afetada. Este fato pode ser dado a título temporário ou permanente, total ou parcial, devido a uma indisponibilidade do equipamento ou dos recursos humanos necessários para o exercício da referida, na sequência de um evento fora do controle da Empresa, como um incidente grave e uma

Página27


catástrofe natural. Em conformidade com os regulamentos do grupo de controle de risco, todas as entidades do BNP Paribas, o que inclui a BNP PAM Brasil, estão diretamente responsáveis por: ● Identificar as suas necessidades de continuidade empresarial; ● Realizar o desenvolvimento do correspondente plano de ação (Business Continuity Plan - BCP); ● Realizar testes regulares para medir a eficácia do plano; ● Definir e implantar um sistema específico de gestão de crises. II - Preparação para o desenvolvimento de um PCN Identificar os requisitos de continuidade Plano de Continuidade de Negócios Este plano contém todos os processos mapeados como críticos de acordo com o departamento/área. Plano de recuperação de desastres (DRP) Este plano é para qualquer evento técnico ou estrutural, resultando em interrupções de atividade. Na maioria dos casos, isso envolve a súbita indisponibilidade de uma máquina, um sistema local ou escritório.Deve ser escrito para prover procedimentos detalhados a fim de facilitar a recuperação de capacidade em um local alternativo. Plano de ocupação de emergência (Sueste Plaza) Este plano cobre todos os riscos que podem tornar impossível a entrada nas instalações ou a utilização de transporte. Este é, portanto, um importante tipo de incidente: incêndio, inundação, terremoto, desmoronamento do edifício, terrorismo, greve, etc. Plano de comunicação Documento criado para prover os procedimentos necessários para a disseminação de informações aos interessados (colaboradores e público). Ele deve contemplar que somente informações autorizadas devem ser levadas ao público. Identificar as partes envolvidas Ao nível da organização, cada departamento/área deve possuir uma lista de todos os colaboradores que serão diretamente envolvidos na implantação das soluções de continuidade organizacional: ● As responsabilidades deles precisam ser claramente estabelecidas (supervisão, apresentação de relatórios, etc.). ● Os recursos disponíveis devem ser acompanhados da forma mais eficiente possível com as competências necessárias. Análise no contexto regulamentar As soluções de continuidade devem ser compatíveis com a regulamentação aplicável e da localização da atividade. Isto é particularmente importante no caso de uma atividade terceirizada. Lista dos elementos básicos subjacentes à atividade Aqui, é necessário certificar-se de que: ● A atividade e suas dependências e os fluxos de informação são conhecidas e foram estabelecidas formalmente; ● Colaboradores chave foram identificados pela área/departamento;

●Os riscos potenciais e incidentes graves (naturais, técnicos e ameaças humanas) foram listados, analisados, avaliados e tidos em conta na gestão cotidiana da atividade;

Página28


● Sistemas e os seus dados foram identificados e mapeados. Deve ser dada especial atenção aos sistemas geridos em parceria ou terceirizados;

● Logística de sistemas, especialmente em conexão com as instalações (acesso, segurança, serviços públicos, etc.) foram descritas;

● Todos os instrumentos de comunicação necessários pela entidade para exercer as suas atividades foram descritas.

Análise e necessidades de continuidade Para apoiar este inventário, a Empresa precisa selecionar todas as atividades vitais ou críticas necessárias para manter a atividade durante um incidente. Estas são as atividades de continuidade que precisam ser definidas, implantadas e testadas. As necessidades de continuidade são expressas de acordo com os seguintes princípios: ● Atividades essenciais e seu impacto (financeira, co mercial, regulamentar, relações públicas, etc.) devem ser listados, hierarquizados e validados pelos gestores da empresa. O impacto financeiro da degradação da atividade tem de ser precisamente avaliado e comparado com o custo de implantação de soluções de continuidade, a fim de tornar as escolhas possíveis; ● Software estratégico e os dados devem ser listados, hierarquizados e validados pelos respectivos departamentos . Principais preocupações são os procedimentos operacionais de software e de acessibilidade dos dados. O RPO dos dados das principais atividades também deve ser avaliado e validado pelos mesmos; ● Logística de movimentação e sistemas de comunicação para as atividades centrais precisam ser listadas . As opções são definidas no momento, tais como: taxis, telefones fixos e celulares, SMS. ● Segurança de pessoas e de dados (autenticação, gest ão das jurisdições, backup, armazenamento, etc.) precisa ser levado em conta no processo de continuidade. Assim, uma atividade exercida rotineiramente em um ambiente protegido deve ser prosseguida em um ambiente semelhante, no caso de um incidente. Em conclusão, estes elementos devem ser adequadamente identificados, pareados na expressão das necessidades. Implantação e ativação de estratégias para a contin uidade Nesta fase, o objetivo é garantir que, durante cada incidente, independentemente da sua gravidade, todas as medidas necessárias para ativar e aplicar a continuidade são tomadas. Os gestores devem, nomeadamente, ter os meios para analisar a situação e executá-las com total conhecimento dos fatos. A Empresa precisa analisar cada cenário de crise, a fim de determinar probabilidades de ocorrência e impacto potencial (pela análise em dados históricos). Esta análise tem uma forte influência sobre a escolha de soluções e permite a continuidade necessária através de escolhas em função da probabilidade/impacto. Terceirização das atividades : se a empresa transferir parte de suas atividades, especialmente aquelas consideradas fundamentais, deve se certificar de que o prestador de serviços tem mecanismos para continuidade do seu serviço quando o mesmo é comprometido por sérias dificuldades. Se não existirem esses mecanismos, a entidade deve prever a situação em que o prestador de serviços é incapaz de prestar o seu serviço. Uma vez que as soluções de continuidade foram identificadas, a organização deve desenvolver e atualizar os procedimentos técnicos para cada solução. Estes procedimentos devem prever, nomeadamente: ● Funcionários : equipes de plantão, a transferência de equipes; ● Instalações : podem ser requisitadas para uma ativação de um local alternativo para a retomada gradual dos processos; ●Equipamentos de TI : mover ou substituir;

Página29


●Dados : recuperação de dados armazenados e perdidos no incidente, a preservação da confidencialidade e segurança; ● Logística : sistemas de comunicação e apoio à mobilidade dos envolvidos. Por último, a Empresa precisa se certificar de que estes procedimentos estão disponíveis no caso de um incidente. Validação do projeto PCN e revisão Princípio básico: um PCN validado é um PCN regularm ente testado. Os colaboradores devem participar dos testes regularmente e certificar de que os procedimentos que estão descritos estão operacionais e efetivos para suprir as necessidades de continuidade. Esses testes, notoriamente, oferecem uma oportunidade para verificar: ● O grau em que os colaboradores estão conscientes e envolvidos na execução do PCN; ● A eficácia das soluções propostas; ● A pertinência das escolhas feitas em comparação com o limite máximo permitido; É evidente que os procedimentos de PCN devem ser coerentes com as políticas de Risco Operacional e também aplicar as melhorias de controles e alterações demandadas pelo Departamento de Controle de Riscos Operacionais. III - RESPONSABILIDADES BCP Coordinator - Regional Como coordenador regional, ele deve: ● Assegurar que as entidades/atividades sob a sua responsabilidade possuam e mantenham atualizados os seus planos de continuidade; ● Monitorar a gestão de continuidade; ● Coletar indicadores sobre o tema em suas subsidiárias; ● Garantir que as subsidiárias tenham ciência e sigam esta política; ● Realizar, sempre que possível, a mutualização dos recursos; ● Monitorar o andamento financeiro das subsidiárias com relação ao tema; ● Reportar os acontecimentos ao Global BCP Coordination (Matriz). BCP Coordinator – Country A função deste profissional é: ● Validar a definição do nível crítico, o tempo máximo permitido e a necessidade da continuidade da sua atividade; ● Validar a proposta de solução técnica backup; ● Participar dos testes. E, conforme o caso: ● Ativar o PCN em coordenação com o Grupo de Crise; ● Ativar o PCN e retome as atividades em sites de backup; DRP Manager O gerente de DRP é responsável por: ● Garantir o funcionamento do parque tecnológico durante uma crise, seguindo os procedimentos mapeados; ●Apoiar, conforme necessidade, os testes de continuidade; ● Executar as ações decididas pelo comitê de BCP e, conforme o caso, de Crise. Correspondentes de BCP

Página30


O Correspondente de BCP é responsável por fornecer as informações necessárias ao BCP Manager para que se possa avaliar os processos existentes na instituição, bem como o acompanhamento e resultados dos testes. Comitê de BCP O comitê é responsável por: ● Acompanhar o resultado de cada um dos testes realizados durante o trimestre; ● Validação da documentação do sistema Paros; ● Validação dos Planos Operacionais de cada Unidade de Negócio; ● Discutir custos e melhorias do BCP; ● Cobrar as Unidades de Negócio quando não responderem às solicitações de informações ou revisão de material de BCP ou quando não cooperam com o bom andamento do sistema de um modo geral; Este comitê deve possuir reuniões formais trimestrais.

Grupo de Crise O grupo, uma vez decretado estado de crise na Empresa, é responsável por: ● Tomar toda e qualquer decisão relativa à Continuidade de Negócio ou Contingência, desde a forma como devem ser elaborados e mantidos os planos e estratégias, até a ativação dos mesmos. Call Tree Após decisão do Comitê de Crise sobre qual ação tomada, o Call Tree 2º nível (Executive Board) deve ser acionado para que haja a comunicação aos demais colaboradores. Colaboradores Todos devem: ● Ter conhecimento desta política e aplicá-la no seu dia-a-dia; ● Comunicar oportunidades de melhoria que veem; ● Ter ciência dos procedimentos a serem seguidos em caso de contingência; ● Tomar ciência de que não estão autorizados a prestar qualquer entrevista ou prover qualquer informação à imprensa em caso de contingência. Avaliação da eficácia e melhoria do SGCN A eficácia do Sistema de Gestão é avaliada continuamente através dos seguintes mecanismos: ● Avaliação dos incidentes; ● Pós-testes de continuidade; ● Controle de não conformidade e padrões de mercado; ● Análise Crítica. O processo de melhoria contínua é validado a partir do mecanismo de ações corretivas e preventivas sendo que essas entradas são analisadas e discutidas, gerando Planos de Ação.

13. OUVIDORIA O BNP Paribas Brasil instituiu dois tipos de Ouvidoria. A primeira é dedicada ao atendimento de clientes do Banco e a segundo é restrita para os colaboradores da Instituição. 13.1 Ouvidoria de Clientes : A “Ouvidoria de Clientes” do Banco BNP Paribas Brasil S.A. (Banco) foi criada com a atribuição de assegurar a estrita observância das normas legais e regulamentares relativas aos direitos do consumidor

Página31


e de atuar como canal de comunicação entre o Banco e os seus clientes e os usuários de seus produtos e serviços, inclusive na mediação de conflitos. Para garantir o acesso dos clientes e usuários dos produtos e serviços do Banco, a “Ouvidoria de Clientes” dispõe de um canal de comunicação acessível através de endereço eletrônico próprio ([email protected]) e outro canal através de discagem direta gratuita através do telefone (0800-7715999). Os canais de comunicação acima se encontram divulgados nos principais documentos e contratos que formalizam os produtos e serviços oferecidos pelo Banco, nos extratos mensais enviados regularmente aos clientes, nos materiais de propaganda e de publicidade e no nosso sitio da Internet, com informações acerca da sua finalidade e formas de utilização. A “Ouvidoria de Cliente” mantém controles para o registro das reclamações recebidas, com evidências do histórico de atendimento, os dados de identificação dos clientes e as providências adotadas. O relatório semestral deve ser revisado pela empresa de Auditoria Externa contratada pelo do Banco, a qual deve manifestar-se acerca da qualidade e adequação da estrutura, dos sistemas e dos procedimentos da “Ouvidoria de Cliente”, e apreciado pela Auditoria Interna ou pelo Comitê de Auditoria do Banco. O relatório semestral deve ser encaminhado ao Banco Central do Brasil, até 60 (sessenta dias) da data base ou, em até 30 (trinta) dias nos casos de ocorrência de fato relevante. Para envio do relatório semestral ao Banco Central do Brasil, deverá ser observada a codificação do Catálogo de Documentos – Cadoc e a classificação das reclamações por temas conforme definido na Carta Circular BACEN 3.298 de 22/02/2008. Os relatórios e arquivos de documentos devem ser mantidos pelo prazo mínimo de 5 (cinco) anos ou prazo superior por determinação expressa da CVM, em caso de processo administrativo. O Serviço de Atendimento ao Cidadão – SAC da CVM pode encaminhar consulta ou reclamação que digam respeito à atuação de participante do mercado à Ouvidoria da instituição, para a adoção das providências, conforme definido no artigo 10 da Instrução CVM 529 de 01/11/2012. 13.2 Ouvidoria de Colaboradores : O objetivo da Ouvidoria para Colaboradores (funcionários, terceirizados, estagiários, etc) é o estabelecimento de um canal de comunicação direta para que os colaboradores possam, de forma confidencial e sem nenhum tipo de constrangimento, comunicar possíveis ocorrências de irregularidades, erros, omissões, fraudes ou o não cumprimento das normas internas e das normas regulamentares, que por suas características possa expor o Banco / Asset, seus administradores e colaboradores em risco de imagem, legal, operacional ou de compliance. A implementação de um procedimento de Ouvidoria para Colaboradores (whistleblowing) está em consonância com as melhores práticas de mercado, bem como, é um procedimento obrigatório tanto sob o ponto de vista de nossa Matriz na França, quanto sob o ponto de vista da regulamentação brasileira. II. Ouvidoria (whistle-blowing) O procedimento padrão estabelece que sempre que um colaborador tenha o conhecimento ou suspeitar que uma transação efetuada ou planejada ou da existência de uma ocorrência que ele, razoavelmente, acredite que não esteja em compliance com um ou mais dos princípios estabelecidos em nosso Código de Ética e Conduta ou com quaisquer regras internas ou externas, o colaborador deve informar, imediatamente, a seu superior direto ou indireto. Entretanto, no caso em que o colaborador não desejar

Página32


fazer esta comunicação aos seus superiores, por qualquer motivo, ele poderá efetuar essa comunicação ao Ouvidor responsável pela atividade de “whistle-blowing” do Banco/Asset, abaixo nomeado. Em nenhuma circunstância o colaborar deve conduzir investigações por conta-própria para a comprovação da possível irregularidade ou não-compliance com as normas. Os colaboradores mais que uma obrigação, têm o direito de efetuar comunicações de irregularidades que eles venham a tomar ciência. Assim, qualquer iniciativa de boa-fé de um colaborador, neste contexto, não terá quaisquer repercussões negativas para o mesmo e, em particular, não haverá nenhum tipo de medidas disciplinares tomadas contra ele, mesmo que a comunicação seja considerada, após análises, como improcedente. III. Confidencialidade Todas as denúncias recebidas pela Ouvidoria serão tratadas em total sigilo, de modo a preservar os fatos narrados assim como a identidade dos denunciantes. O Ouvidor está terminantemente proibido de divulgar os fatos narrados ou o nome do denunciante mesmo após a conclusão das investigações internas, exceto se o colaborador que comunicou o fato não solicitar que a sua denúncia seja tratada com confidencialidade

Documents

Manual de regras, procedimentos e controles internos