Política de Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo - versão 12.0

01. Objetivo

Apresentar os princípios, diretrizes e responsabilidades para prevenção às práticas de lavagem de dinheiro e ao financiamento do terrorismo.

02. Abrangência

Esta Política abrange os princípios e as diretrizes a serem observados para evitar práticas de lavagem de dinheiro e ao financiamento do terrorismo, nos produtos e serviços da iugu Instituição de Pagamento S.A. Nesse sentido, apresenta-se a definição de responsabilidades para o cumprimento destas diretrizes, de acordo com a legislação vigente.

Este documento é aplicável a todos os colaboradores em todos os níveis da instituição e seus dirigentes, estendendo-se aos clientes, parceiros e prestadores de serviços terceiros com vínculos formais ao negócio da iugu

03. Glossário

COAF: O Conselho de Controle de Atividades Financeiras, tem como atribuição legal receber, examinar e identificar as ocorrências de atividades ilícitas previstas na Lei nº 9.613, de 1998, que define regras a respeito da prevenção aos crimes de lavagem de dinheiro e ocultação de
bens.

LAVAGEM DE DINHEIRO: Conjunto de operações comerciais ou financeiras que buscam a incorporação na economia, de modo transitório ou permanente, de recursos, bens e valores de origem ilícita. A lavagem de dinheiro busca ocultar ou dissimular a natureza, origem, a localização, a disposição, a movimentação ou a propriedade de bens, direitos e valores provenientes, direta ou indiretamente, de crimes.

PEP: São pessoas expostas politicamente (PEP) os ocupantes de cargos e funções públicas listadas nas normas de PLDFT, editadas pelos órgãos reguladores e fiscalizadores.

TERRORISMO: Consiste na prática por um ou mais indivíduos, que por razões de xenofobia, discriminação ou preconceito de raça, cor, etnia e religião, quando cometidos com a finalidade de provocar terror social ou generalizado, expondo a perigo pessoa, patrimônio, a paz pública ou a incolumidade pública.

04. Princípios e diretrizes

A iugu considera os seguintes princípios norteadores para a prevenção da lavagem de dinheiro e ao financiamento do terrorismo:

4.1. Observar a legislação e a regulamentação vigentes aplicáveis às instituições de pagamento;
4.2. Promover elevados padrões de ética, integridade, equidade, transparência, justiça e compromisso, que são parte dos valores disseminados em nosso Código de Ética;
4.3. Prezar pela transparência e confidencialidade das informações, além de preservar a relação de confiança e sintonia com nossos clientes;
4.4. Disseminar a cultura de prevenção à lavagem de dinheiro e ao financiamento do terrorismo à toda instituição, incluindo nossos parceiros e prestadores de serviços terceirizados.

Fazem parte de nossas diretrizes de prevenção à lavagem de dinheiro e ao financiamento do terrorismo:
4.5. O compromisso de estabelecer e manter uma estrutura de prevenção e combate à lavagem de dinheiro e ao financiamento do terrorismo em todas as áreas da iugu, através de processos, normativos internos e treinamentos aos seus colaboradores a respeito do tema;
4.6. Desenvolver, implementar e atualizar periodicamente esta política, manuais, procedimentos e controles internos voltados à prevenção à lavagem de dinheiro e ao financiamento do terrorismo, em consonância com a legislação e regulamentação vigentes, bem como às melhores práticas de mercado;
4.7. Realizar testes de efetividade dos controles existentes para a prevenção à lavagem de dinheiro e ao financiamento do terrorismo, nas diversas áreas de negócio da iugu que sejam suscetíveis aos crimes de lavagem de dinheiro e ao financiamento do terrorismo;
4.8. Reportar periodicamente a Diretoria e ao Conselho de Administração da iugu, com validação prévia da auditoria interna, sobre a efetividade dos controles internos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo;
4.9. Promover e disseminar a todos os colaboradores, parceiros e prestadores de serviços terceiros, uma cultura de princípios éticos e de integridade e de combate e prevenção a atos ilícitos, nas diferentes atividades de negócio.

Diretrizes de Governança e Estrutura

4.10. A estrutura de governança da iugu, visa assegurar o cumprimento desta política, dos procedimentos e dos controles internos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo.
4.11. A política é aplicável e amplamente divulgada a todos os colaboradores da iugu, aos parceiros e aos prestadores de serviços terceiros.
4.12. A responsabilidade pela definição da estrutura de governança, dos processos e da manutenção desta política e procedimentos é da Diretoria de Riscos e Compliance, sendo que sua aprovação deverá ser responsabilidade do Comitê de Governança, Riscos e
Compliance (GRC).
4.13. Os documentos relacionados à prevenção de lavagem de dinheiro e ao financiamento do terrorismo, como esta política, procedimentos, contratos, relatórios, bem como as informações coletadas nos procedimentos relacionados, devem permanecer à disposição do Banco Central do Brasil pelo prazo mínimo de 10 anos e devem observar a regulamentação vigente, que estabelece o prazo específico dos documentos.
4.14. Para compor a estrutura de governança, a iugu formaliza ao Banco Central do Brasil um diretor responsável pelo cumprimento das obrigações previstas em legislação e, regulamentação vigentes, observando de que este diretor não possua conflito de interesses
com suas funções.

Diretrizes da Avaliação Interna de Risco

4.15. A iugu realiza a avaliação interna com o objetivo de identificar e mensurar o risco de
utilização de seus produtos e serviços, no que concerne, a prática de lavagem de dinheiro e
ao financiamento do terrorismo.
4.16. A avaliação interna considera os seguintes perfis de riscos:

1. de clientes;
2. da instituição, incluindo o modelo de negócio e a área geográfica de atuação;
3. das operações, transações, produtos e serviços, abrangendo todos os canais de distribuição e a utilização de novas tecnologias;
4. das atividades exercidas pelos colaboradores, parceiros e prestadores de serviços
   terceirizados.

4.17. O risco identificado, considera a probabilidade de ocorrência e a magnitude dos impactos financeiro, jurídico, reputacional e  socioambiental.
4.18. A avaliação interna de risco adota controles de gerenciamento e de mitigação destes que são classificados de acordo com os perfis de risco considerados para análise, reforçando os controles para as situações de maior ou menor risco, respectivamente,
4.19. A responsabilidade pela condução da avaliação interna de risco é da área de Compliance e, deve ser atualizada com periodicidade de 2 anos ou, quando ocorrerem alterações significativas em seus perfis de risco ou regulamentar.
4.20. A avaliação interna de risco, é um documento aprovado pelo Diretor nomeado perante o Banco Central do Brasil pelo cumprimento das obrigações da Circular nº 3.978/20 (Prevenção à lavagem de dinheiro e financiamento do terrorismo), com a devida ciência da Auditoria Interna e do Conselho de Administração. O documento faz parte do anexo desta política, sendo de responsabilidade das áreas de Compliance e PLDFT. O seu uso é restrito e confidencial das áreas citadas e do Conselho de Administração.

Diretrizes do Conheça seu Cliente (KYC)

4.21. A iugu adota uma política e um procedimento destinado a conhecer seus clientes, incluindo a diligência na sua identificação, qualificação e classificação.
4.22. A responsabilidade pela identificação e qualificação de clientes é da área de Prevenção à Fraude, devendo ser realizada a obtenção, a verificação e a validação da autenticidade de informações cadastrais e de informações relevantes para conhecer os clientes, observados os
critérios mínimos de informações cadastrais estabelecidas na Circular nº 3.978/20.
4.23. As informações coletadas na qualificação do cliente, devem ser mantidas atualizadas e devidamente armazenadas, incluindo a verificação de condição do cliente como Pessoa Exposta Politicamente (PEP), bem como, a verificação da condição de representante, familiar
ou estreito colaborador dessas pessoas.
4.24. A qualificação de clientes deve garantir a compatibilidade de coleta, verificação e validação de dados com o perfil de risco, além de incluir a natureza da relação de negócio. Portanto, deve-se adicionar informações adicionais do cliente, quando compatíveis com o risco de utilização de produtos e serviços na prática da lavagem de dinheiro e financiamento ao terrorismo.
4.25. As informações coletadas na qualificação de clientes devem ser mantidas atualizadas e reavaliadas de forma permanente, de acordo com a evolução da relação de negócio e do perfil de risco.
4.26. A responsabilidade pela classificação dos clientes, é da área de PLDFT, sendo observados os critérios de classificação e de controles mitigatórios apresentados na Avaliação Interna de Risco.
4.27. Os critérios de identificação, qualificação e classificação de clientes devem ser também adotados aos administradores e representantes no âmbito do Cadastro Nacional da Pessoa Jurídica (CNPJ).
4.28. A qualificação do cliente pessoa jurídica, deve incluir a análise da cadeia de participação societária até a identificação da pessoa natural caracterizada como seu beneficiário final.
4.29. O valor mínimo de referência de participação societária para a identificação de beneficiário final, estabelecido pela iugu, é de 25%.
4.30. Fica vedada a iniciação de relação de negócios sem que os procedimentos de identificação e qualificação do cliente estejam concluídos.
4.31. Quaisquer situações relevantes relacionadas a clientes, como: mídia negativa, presença de PEP, mudança na estrutura de controle bem como indícios de descumprimento de lavagem de dinheiro e ao financiamento do terrorismo, devem ter o envolvimento do diretor responsável por PLDFT, podendo o caso ser levado em comitê decisório.
4.32. Admite-se, por um período máximo de trinta dias, o início da relação de negócios em caso de insuficiência de informações relativas à qualificação do cliente, desde que não haja prejuízo aos procedimentos de monitoramento e seleção.

Diretrizes do Conheça seu Parceiro e Prestador de Serviço (KYP)

4.33. A iugu adota um procedimento destinado a conhecer seus parceiros e prestadores de serviços terceirizados, incluindo a diligência na sua identificação, qualificação e classificação, considerando seu perfil de risco e dos serviços a serem prestados.
4.34. O procedimento implementado para conhecer parceiros e prestadores de serviços terceiros, será compatível com as diretrizes desta política, a exemplo da coleta, verificação e validação de dados e com a avaliação interna de risco.
4.35. As informações relativas a parceiros e prestadores de serviços terceiros, serão mantidas atualizadas, considerando inclusive eventuais alterações que impliquem mudança de classificação nas categorias de risco.
4.36. As áreas envolvidas no relacionamento de parceiros e contratação de prestadores de serviços terceiros, devem seguir rigorosamente as diretrizes desta política e, dos procedimentos específicos destinados a conhecer, tanto parceiros e prestadores de serviços terceirizados.
4.37. A iugu realizará avaliação prévia dos prestadores de serviços terceiros, levando em conta aspectos como capacidade técnica, experiência, reputação, situação financeira, conformidade legal e regulatória.
4.38. O contrato com prestadores de serviços terceirizados, serão formalizados e conterão cláusulas que estabeleçam, no mínimo, os direitos e obrigações das partes, a descrição detalhada dos serviços a serem prestados, os prazos e condições de execução; as responsabilidades e penalidades aplicáveis; e os mecanismos de controle e monitoramento.
4.39. A iugu implementará processos de monitoramento e supervisão dos prestadores de serviços terceiros, a fim de garantir a qualidade, segurança e eficiência dos serviços prestados, bem como a conformidade com as exigências legais e regulamentares.
4.40 A iugu realizará revisões periódicas dos contratos e da performance dos prestadores de serviços terceirizados, a fim de verificar se as atividades estão sendo realizadas conforme o acordado e se os riscos associados, estão sendo adequadamente gerenciados.
4.41. As informações coletadas na qualificação do parceiro e prestador de serviço terceiro, serão mantidas atualizadas e devidamente armazenadas, incluindo a verificação de condição de Pessoa Exposta Politicamente (PEP), bem como a verificação da condição de  representante, familiar ou estreito colaborador dessas pessoas expostas politicamente. 

Confira o Manual de boas práticas para parceiros e prestadores de serviços terceiros.

Diretrizes do Conheça seu Colaborador (KYE)

4.42. A iugu implementa procedimentos destinados a conhecer seus colaboradores, desde a seleção, até a contratação, coletando, verificando, validando os dados de modo a identificálos e qualificá-los de acordo com o perfil da posição que ocupam e das atividades profissionais realizadas.
4.43. A qualificação do colaborador deve prever também, a identificação e o enquadramento como Pessoa Exposta Politicamente (PEP) ou, a existência de estreito vínculo com essas pessoas.
4.44. Os colaboradores são classificados pela área de PLDFT de acordo com as atividades exercidas, nas categorias de riscos definidas na avaliação interna de risco.
4.45. As informações de colaboradores devem ser mantidas atualizadas, considerando inclusive, eventuais alterações que impliquem mudanças de classificação nas categorias de risco.
4.46. Havendo reclassificação vertical de cargo, a área de Eficiência Organizacional, deve informar a área de PLDFT para uma nova classificação do risco do colaborador seja realizada.
4.47. As áreas e os gestores envolvidos no procedimento de contratação ou promoção de funcionários, devem seguir rigorosamente as diretrizes desta política e dos procedimentos específicos destinados a conhecer seus colaboradores.

Diretrizes do Registro de Operações e de Serviços Financeiros

4.48. A iugu adota procedimentos e tecnologia para manter registros de todas as operações realizadas, produtos e serviços contratados, incluindo os registros de movimentação de moeda eletrônica, aos quais fazem parte da demanda de autorização do Banco Central do Brasil, estando imbricado ao seu funcionamento como instituição de pagamento.
4.49. Os responsáveis da área de Tecnologia e pela movimentação de operações na iugu, quaisquer que sejam, devem observar os critérios mínimos de registros sobre cada operação, conforme determina a Circular nº 3.978/20, cuja finalidade é garantir o registro das seguintes
informações: tipo de operação, valor (quando aplicável), data da realização, nome do responsável, seguido do número de inscrição no CPF ou no CNPJ do titular, bem como do beneficiário da operação, no caso de pessoa residente ou sediada no país, acrescido do canal utilizado.
4.50. Observação: esta diretriz orienta as informações sobre o registro das operações, não sendo critério de aceitação de novos clientes e de novos negócios, devendo obrigatoriamente observar as demais políticas de aceitação da iugu.
4.51. Para as operações de pagamento, recebimento e transferência de recursos, além dos critérios mínimos de registros informados no item  4.45, devem ser incluídos, tanto os dados registrados quanto a identificação da origem e destino dos recursos. 
4.52. Os registros mínimos para identificação da origem e destino dos recursos em operações de pagamento, recebimento e transferência de recursos são:

1. nome e número de inscrição no CPF ou no CNPJ do remetente ou sacado;
2. nome e número de inscrição no CPF ou no CNPJ do recebedor ou beneficiário;
3. códigos de identificação, no sistema de liquidação de pagamentos ou de transferência de fundos, das instituições envolvidas na operação; e
4. números das dependências e das contas envolvidas na operação.

Diretrizes do Monitoramento, Seleção e Análise de Operações e Situações Suspeitas

4.53. O monitoramento, a seleção e análise de propostas de operações e, operações e situações suspeitas, devem ser observadas pela Diretoria de Riscos e Compliance da iugu, em especial, pela equipe de PLDFT.

São consideradas operações e situações suspeitas qualquer operação ou situação, efetivada ou não, que apresente indícios de utilização da iugu para a prática dos crimes de lavagem de dinheiro e ao financiamento do terrorismo.

4.54. As atividades consideradas como indícios ou suspeitas de lavagem de dinheiro e/ou financiamento do terrorismo, devem ser comunicadas à Diretoria de Riscos e Compliance para análise.
4.55. O período para a execução dos procedimentos de análise das propostas de operações, operações e situações apresentadas como de indícios ou suspeitas de lavagem de dinheiro ou financiamento do terrorismo, não podem exceder o prazo de 45 dias, contados a partir
da data da seleção da notificação, ou seja, a partir da data do alerta.
4.56. Os procedimentos de monitoramento, seleção de propostas de operações, operações e situações suspeitas, devem ser implementados e formalizados pela área de PLDFT, em documento especificado, aprovado pelo Comitê de Governança, Riscos e Compliance (GRC), compatíveis com as diretrizes desta Política e definidos com base na Avaliação Interna do Risco.
4.57. O monitoramento, seleção e análise, considerará nos serviços realizados, nos produtos e serviços contratados, assim como, nas propostas de operações, as seguintes situações que possam indicar suspeitas de lavagem de dinheiro e financiamento do terrorismo:

1. Resistência na apresentação de informações ou meios que objetivem burlar os procedimentos de identificação, qualificação, registro, monitoramento e seleção previstos como diretrizes desta Política;
2. Operações realizadas e os produtos e serviços contratados que, considerando as partes e os valores envolvidos, apresentem incompatibilidade com a capacidade financeira do cliente incluindo a renda, no caso de pessoa natural, ou o seu faturamento, no caso de pessoa jurídica, bem como seu respectivo patrimônio, em ambos os casos;
3. As operações com Pessoas Expostas Politicamente (PEP) de nacionalidade brasileira, seus representantes, familiares ou estreitos colaboradores de pessoas expostas politicamente;
4. As operações com pessoas estrangeiras expostas politicamente;
5. Os clientes e as operações, onde não seja possível identificar o beneficiário final;
6. As operações oriundas ou destinadas a países ou territórios com deficiências na implementação das recomendações do Grupo de Ação Financeira (GAFI);
7. as situações em que não seja possível manter atualizadas as informações cadastrais de clientes;
8. Operações e/ou situações que possam configurar ilícitos penais que estejam ligados, direta ou indiretamente, ao financiamento do terrorismo.

4.58. O monitoramento e a seleção de propostas de operações, operações e situações suspeitas, não podem exceder o prazo de 45 dias, contados a partir da data do alerta da de ocorrência da operação ou da situação. 
4.59. A análise classificada procedente, quanto aos indícios ou suspeitas de lavagem de dinheiro e financiamento do terrorismo, será formalizada em dossiê e submetida ao Comitê de Governança, Riscos e Compliance (GRC).
4.60. A decisão de comunicação da operação ou situação ao COAF, será fundamentada com base nas informações contidas no dossiê A decisão será registrada em ata e a comunicação
realizada em até 24 horas. 

Da Comunicação ao Coaf

4.61. Os dossiês submetidos e deliberados pelo Comitê de Governança, Riscos e Compliance (GRC) serão comunicados ao COAF pela área de PLDFT. Estes dossiês serão compostos de forma clara e objetiva, pela descrição do cliente, descrição dos indícios encontrados, assim como, as evidências que os corroborem, considerando o embasamento regulatório da decisão, conforme hipóteses previstas na Carta Circular  4.001/2020.

4.62. A comunicação da operação ou situação suspeita ao COAF, será realizada até o dia útil seguinte ao da decisão de comunicação, ou seja, em até 24 horas corridas; sendo que as hipóteses previstas na Carta Circular 4.001/2020, deverão ser devidamente registradas no Siscoaf.

4.63. A área de PLDFT e as demais áreas envolvidas com a identificação e a análise de operações e/ou situações com indícios ou suspeitas de lavagem de dinheiro e financiamento do terrorismo, devem conduzir todo o processo de forma sigilosa, sem comunicação aos envolvidos ou a terceiros.

4.64. Na hipótese de inexistência de operações ou situações suspeitas ao COAF durante o ano civil, a área de PLDFT deverá prestar declaração, até dez dias úteis após o encerramento do referido ano, atestando a não ocorrência de operações ou situações passíveis de comunicação.

4.65. As comunicações alteradas ou canceladas após o 5º (quinto) dia útil consecutivo da sua realização, devem ser acompanhadas de justificativa da ocorrência.

4.66. As comunicações podem ser realizadas de forma centralizada por meio do conglomerado prudencial, em nome da instituição na qual ocorreu a operação ou a situação. Dessa forma, a decisão deve ser realizada em reunião do Conselho de Administração ou da Diretoria da iugu (Comitê GRC).

4.67. Detalhes e especificações se a pessoa objeto da comunicação ao COAF:

1. é pessoa exposta politicamente ou representante, familiar ou estreito colaborador dessa pessoa;
2. é pessoa que, reconhecidamente, praticou ou tenha intentado praticar atos terroristas ou deles participado ou facilitado o seu cometimento;
3. é pessoa que possui ou controla, direta ou indiretamente, recursos na iugu;

4.68. As comunicações são realizadas através de sistema fornecido pelo regulador e a iugu deve se habilitar no Sistema de Controle de Atividades Financeiras (Siscoaf), do COAF.
4.69. Os dossiês das transações e situações que foram ponto de atenção para a comunicação ao COAF, são registrados eletronicamente ou fisicamente pela área de PLDFT, com autorização de acesso apenas das pessoas envolvidas nos processos e atividades na prevenção de lavagem de dinheiro e financiamento do terrorismo. Os conteúdos serão mantidos e armazenados pelo período de 10 (dez) anos, assim como as atas de deliberações do Comitê de Governança, Risco e Compliance (GRC).

Da Avaliação de Efetividade

4.70. A iugu deve avaliar a efetividade dessa política, dos procedimentos e dos controles internos, que deverá ser documentada em relatório específico, produzido sob responsabilidade da área de Controles Internos.
4.71. O relatório de Avaliação de Efetividade deve ser no mínimo:

1. elaborado anualmente, com data-base de 31 de dezembro; e
2. encaminhado, para ciência, até 31 de março do ano seguinte ao da data-base ao Conselho
   de Administração e à Diretoria da iugu.

4.72. As informações do relatório de Avaliação de Efetividade devem descrever:

1. a metodologia adotada na avaliação de efetividade;
2. os testes aplicados;
3. a qualificação dos avaliadores; e
4. as deficiências identificadas.

4.73. Conter no mínimo, a avaliação:

1. dos procedimentos destinados a conhecer seu cliente (KYC), incluindo a verificação e a validação das informações dos clientes e a adequação dos dados cadastrais;
2. dos procedimentos de monitoramento, seleção, análise e comunicação ao COAF, incluindo a avaliação de efetividade dos parâmetros de seleção de operações, incluindo situações suspeitas;
3. da governança da política de prevenção à lavagem de dinheiro e ao financiamento do terrorismo;
4. das medidas de desenvolvimento da cultura organizacional voltadas à prevenção da lavagem de dinheiro e ao financiamento do terrorismo;
5. dos programas de capacitação periódica de pessoal;
6. dos procedimentos destinados a conhecer os colaboradores (KYE), parceiros e prestadores de serviços terceirizados (KYP); e,
   das ações de regularização dos apontamentos oriundos da auditoria interna e da supervisão do Banco Central do Brasil.

4.74. Do acompanhamento dos planos de ação:

1. A iugu deve elaborar plano de ação, destinado a solucionar as deficiências identificadas por meio da Avaliação de Efetividade.
2. O acompanhamento da implementação do plano de ação, deve ser documentado por meio de relatório de acompanhamento.
3. O plano de ação e o respectivo relatório de acompanhamento, devem ser encaminhados para ciência e avaliação, até 30 de junho do ano seguinte a data-base do relatório do Conselho de Administração e à Diretoria da iugu.

Diretrizes de acompanhamento e controle

4.75. A iugu assegurará a implementação e a adequação dessa política, dos procedimentos e dos controles internos, incluindo, mas não se limitando a:

•  Processos, testes e trilhas de auditoria:
A partir do Programa de Riscos e Compliance da iugu (“iucomply”), a política e os procedimentos pertinentes a temática de PLDFT serão anualmente revisados pelas áreas de PLDFT e Compliance e os devidos testes e apontamentos de melhorias serão realizados pela área de Controles Internos no Relatório de Avaliação de Efetividade.

•  Métricas e indicadores adequados:
A área de PLDFT considerará como indicadores, o quantitativo de análises realizadas para os procedimentos de “Conheça Seu Colaborador”, “Conheça Seu Parceiro e Prestador de Serviço terceiro”, “Conheça Seu Cliente” e “Monitoramento, Seleção e Análise de Operações e Situações Suspeitas”. Também serão considerados os dados quantitativos da Avaliação Interna de Risco, assim como, o índice de realização do treinamento de PLDFT pelos colaboradores.

• Identificação e a correção de eventuais deficiências:
A identificação de deficiências se dará por meio do Relatório de Avaliação de Efetividade, sendo as correções necessárias pautadas no Relatório de Planos de Ação.

4.76. Os mecanismos citados nesta política, serão submetidos a testes periódicos pela Auditoria Interna.

05. Responsabilidades

A iugu atribui aos seus colaboradores e áreas, as seguintes responsabilidades quanto a prevenção à lavagem de dinheiro e ao financiamento do terrorismo:

Colaboradores

5.1. Tomar conhecimento das diretrizes desta Política e da regulamentação vigente, correspondentes ao combate à lavagem de dinheiro e ao financiamento do terrorismo;
5.2. Tomar conhecimento e cumprir os procedimentos relacionados a conhecer clientes, colaboradores, parceiros e prestadores de serviços terceirizados;
5.3. Realizar os treinamentos obrigatórios e periódicos de prevenção à lavagem de dinheiro e de anticorrupção, solicitados pela Diretoria de Riscos e Compliance, dentre outros.
5.4. Reportar à Diretoria de Riscos e Compliance, os casos suspeitos e com indícios de lavagem de dinheiro e financiamento do terrorismo;
5.5. Submeter eventuais propostas de novos produtos e serviços, à avaliação prévia da Diretoria de Riscos e Compliance, tendo em vista o risco de lavagem de dinheiro e financiamento do terrorismo.

Parceiros e serviços terceiros

5.6. Tomar conhecimento desta Política e do Manual de Boas Práticas para Parceiros e Prestadores de Serviços Terceiros, disponíveis no site institucional da iugu;
5.7. Observar as boas práticas de prevenção à lavagem de dinheiro e financiamento ao terrorismo;
5.8. Comunicar qualquer suspeita ou indício de lavagem de dinheiro e financiamento do terrorismo em nosso Canal de Ética (“Canal de Denúncias”), disponível no site institucional da iugu.

Clientes

5.09 Os clientes devem fornecer informações verídicas e atualizadas sobre sua identificação, atividade econômica, endereço e demais dados solicitados pela iugu.
5.10 Os clientes devem estar atentos a qualquer operação ou transação suspeita em suas contas e, comunicar imediatamente a iugu caso identifique atipicidades.
5.11 Os clientes devem estar cientes e cumprir esta Política, atuando de modo a cumprir os limites estabelecidos e a observância das regras de compliance da iugu, assim como, demais leis e normativos.
5.12 Em caso de investigações ou solicitações de informações por parte das autoridades competentes, os clientes iugu se comprometem a cooperar e fornecer as informações necessárias para esclarecer eventuais suspeitas de lavagem de dinheiro e/ou financiamento do terrorismo.

Diretoria 

5.13. Promover e apoiar a cultura organizacional de prevenção à lavagem de dinheiro e ao financiamento do terrorismo;
5.14. Garantir o devido funcionamento e efetividade do sistema de controles internos relacionado ao tema.
5.15. Promover o acesso as ferramentas, sistemas e informações necessários a realização dos trabalhos da área de PLDFT, da Diretoria de Riscos e Compliance.
5.16. Tomar conhecimento dos relatórios de Controles Internos, de Auditoria Interna e pareceres do Banco Central do Brasil, sobre o  cumprimento desta Política e demais procedimentos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. 

Comitê de Governança, Riscos e Compliance

5.17. Aprovar e deliberar as políticas, procedimentos e manuais relacionados ao tema de prevenção à lavagem de dinheiro e ao financiamento do terrorismo;
5.18. Aprovar e deliberar quanto a comunicação ao COAF, sobre os casos e atividades suspeitas de lavagem de dinheiro e financiamento do terrorismo.
5.19. Tomar conhecimento dos relatórios de Controles Internos, de Auditoria Interna e pareceres do Banco Central do Brasil sobre o  cumprimento desta Política e demais procedimentos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. 

Compliance

5.20. Realizar o acompanhamento efetivo de leis e normas pertinentes ao tema de lavagem de dinheiro e financiamento do terrorismo e, reportá-las à Diretoria e áreas envolvidas;
5.21. Acompanhar ações de adequação regulatória relacionadas ao tema de PLDFT;
5.22. Promover os treinamentos periódicos aos colaboradores de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, de anticorrupção e outros;
5.23. Divulgar, via site oficial da iugu, as diretrizes desta Política a colaboradores, parceiros e prestadores de serviços terceirizados;

Prevenção à Lavagem de Dinheiro de ao Financiamento do Terrorismo (PLDFT)

5.24. Aplicar o disposto nesta política, assim como, nos procedimentos internos que tratam de PLDFT e demais normativos pertinentes;
5.25. Analisar o risco de LDFT em relação novos produtos e serviços, aos clientes da iugu, assim como, em relação aos seus colaboradores, incluindo terceiros, parceiros e prestadores de serviços terceirizados, mesmo que ainda se trate de propostas de relacionamento;
5.26. Realizar a Avaliação Interna de Risco (AIR), conforme disposto no Anexo I – Avaliação Interna de Risco, disponível nesta política;
5.27. Monitorar as transações realizadas por clientes iugu, observando o risco de LDFT;
5.28. Analisar os alertas gerados no sistema de monitoramento transacional e, solicitar ao Diretor de Riscos e Compliance que convoque sessão do Comitê de Governança, Riscos e Compliance (GRC), quando identificada situação suspeita e a necessidade de reportes ao COAF, para deliberação e ciência da alta administração;
5.29. Comunicar o COAF, quando aprovado deliberado pelo Comitê de Governança, Riscos e Compliance (GRC), a respeito de situações suspeitas de lavagem de dinheiro e financiamento do terrorismo.
5.30. Acompanhar e obter evidências do perfil de risco para lavagem de dinheiro e ao financiamento do terrorismo da iugu, de seus produtos e serviços e de suas operações;
5.31. Atender o órgão regulador e a auditoria interna, quando solicitado.

Controles Internos

5.32 Elaborar, anualmente, Relatório de Avaliação de Efetividade, assim como, Plano de Ação e Relatório de Acompanhamento.

Auditoria Interna

5.33. Realizar testes periódicos, compatíveis com os controles internos da iugu, para avaliar a adequação desta Política e dos procedimentos de prevenção à lavagem de dinheiro e ao financiamento ao terrorismo;
5.34. Tomar ciência e avaliar o Relatório anual de Avaliação de Efetividade da política, dos procedimentos e dos controles internos de prevenção à lavagem de dinheiro e ao financiamento ao terrorismo;
5.35. Tomar ciência, avaliar os relatórios de planos de ação e de acompanhamento destinados a solucionar as deficiências identificadas por meio da avaliação de efetividade.
5.36. Manter seus documentos de análise disponíveis a quaisquer solicitações dadas pelo Banco Central do Brasil pelo período de 10 (dez) anos.

Prevenção a Fraudes

5.37. Definir os procedimentos para identificação e obtenção de dados de cadastro, visando atender a primeira fase do procedimento de “Conheça seu Cliente (KYC)”, garantindo o atendimento aos requisitos regulatórios;
5.38. Definir controles para validação dos dados dos clientes;
5.39. Realizar o monitoramento cadastral dos clientes, anualmente;
5.40. Consultar e reportar o Compliance, quando identificado cliente com indícios e suspeitas de lavagem de dinheiro e financiamento do terrorismo.

Gente, Gestão e Administrativo

5.41. Obter, por meio de ferramenta de processo seletivo, dados cadastrais básicos dos candidatos a colaboradores da iugu;
5.42. Solicitar análise de integridade para a área de PLDFT de todos os candidatos participantes de processos seletivos;
5.43. Manter os dados cadastrais dos colaboradores atualizados, efetuando a sua atualização anualmente.

Produtos

5.44. Observar os critérios voltados ao cumprimento da Política de PLDFT;
5.45. Convocar a participação da área de PLDFT, quando pautada à criação de novos produtos, para análise com vista de LDFT

Segurança da Informação

5.46. Atestar a existência de controles que sustentem o cumprimento das diretrizes das Políticas de Segurança da Informação, inclusive de forma a garantir a confidencialidade necessária que envolve os processos de PLDFT;
5.47. Garantir o funcionamento de todos os sistemas que suportam os processos definidos nesta política, bem como a rápida resolução de eventuais falhas no menor tempo de resposta possível.

Jurídico

5.48. Estabelecer procedimentos jurídicos, visando assegurar o cumprimento de exigências legais e normativas relacionadas à PLDFT;
5.49. Analisar e avaliar cláusulas contratuais, a fim de garantir ao cumprimento de requisitos de normativos de PLDFT vigentes;
5.50. Apoiar e tomar as providências necessárias quanto ao tratamento de ocorrências de operações suspeitas;
5.51. Auxiliar e apoiar as respostas de requerimentos legais e regulatórios.

Demais áreas

5.52. Observar os critérios voltados ao cumprimento da Política de PLDFT;
5.53. Solicitar, ainda na fase de negociação, a análise de integridade de parceiros e prestadores de serviços terceiros para a área de PLDFT, quando se configurar como área contratante. 

06. Disposições Gerais

Os conflitos decorrentes do presente documento deverão ser direcionados à Diretoria de Riscos e Compliance para tratativa.

Em caso de quaisquer dúvidas, o colaborador deve entrar em contato com a Diretoria de Riscos e Compliance, a qual suporta a estrutura de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo.

Este documento se integra às demais políticas da Companhia e entrará em vigor na data de sua publicação. Por fim, a presente Política será revisada anualmente, ou a qualquer momento, sempre que se observarem mudanças relevantes nas normas, regras, formato das atividades ou em qualquer outro aspecto intrínseco ao dia a dia da iugu, nos termos da regulamentação aplicável.

07. Referências

• Lei nº 9.613, de 03 de março de 1998, alterada pela Lei nº 12.683, de 09 de julho de 2012 – Dispõe sobre os crimes de "lavagem" ou ocultação de bens, direitos e valores, e a prevenção da utilização do Sistema Financeiro Nacional para a prática de ilícitos, além de criar o COAF.
• Circular BCB nº 3.978, de 23 de janeiro de 2020 – Dispõe sobre a política, os procedimentos e os controles internos a serem adotados pelas instituições autorizadas a funcionar pelo BCB visando à prevenção da utilização do Sistema Financeiro Nacional para a prática dos crimes de lavagem ou ocultação de bens, direitos e valores, e financiamento do terrorismo, e entra em vigor a partir de 1 de outubro de 2020.
• Carta Circular BCB nº 4.001, de 29 de janeiro de 2020 – Divulga relação de operações e situações que podem configurar indícios de  ocorrência dos crimes de lavagem ou ocultação de bens, direitos e valores, e financiamento do terrorismo, e entra em vigor a partir de 1 de outubro de 2020.
• Resolução COAF nº 40/21 – Dispõe sobre os procedimentos a serem observados, em relação a pessoas expostas politicamente, por aqueles que se sujeitam à supervisão do Conselho de Controle de Atividades Financeiras - Coaf na forma do § 1º do art. 14 da Lei nº 9.613, de 3 de março de 1998.
  
  

08. Anexos

• Anexo I - Avaliação Interna de Risco – v1. 

09. Versionamento

09. Aprovações

Elaboração

Malena Saragon
Analista de Compliance

Revisão

Kleber Oliveira
Coordenação de Riscos e Compliance

Aprovação

Julio Macedo
Diretor de Riscos e Compliance

Deliberação

Comitê de Governança, Riscos e Compliance (GRC)

Deliberado no Comitê GRC n° 11, na data de 07 de junho de 2023.