Grupo IES – Innovation | Economy | Security Ltda.

POLÍTICA INTERNA OPERACIONAL DE CONTROLES INTERNOS, GESTÃO DE RISCOS, CONFLITO DE INTERESSES, CANAL DE DENÚNCIAS, INVESTIGAÇÕES INTERNAS E DUE DILIGENCE DE TERCEIROS

Compromisso com a Integridade, Transparência e Governança Corporativa

10 de janeiro de 2026

 

1. OBJETIVO

Esta Política Interna Operacional estabelece as diretrizes, procedimentos e responsabilidades do Grupo IES – Innovation | Economy | Security Ltda., inscrito no CNPJ sob o nº 51.133.983/0001-75, para a implementação e manutenção de um sistema robusto de Controles Internos, Gestão de Riscos, Prevenção e Tratamento de Conflitos de Interesses, Operacionalização de Canal de Denúncias, Condução de Investigações Internas e Execução de Due Diligence de Terceiros. O objetivo primordial é assegurar a conformidade com a legislação vigente, as melhores práticas de governança corporativa e os padrões éticos mais elevados, protegendo o Grupo IES contra fraudes, corrupção, lavagem de dinheiro, falhas operacionais e riscos reputacionais, financeiros e regulatórios, em todas as suas operações e relações, especialmente considerando sua atuação como holding de gestão e controle de outras empresas do grupo.

 

2. ABRANGÊNCIA

As disposições contidas nesta Política são de cumprimento obrigatório e irrestrito por todos os membros da Diretoria, Conselheiros (quando aplicável), Sócios, Administradores, Colaboradores (independentemente do nível hierárquico ou modalidade de contratação), Estagiários, Aprendizes, Prestadores de Serviços, Consultores, Parceiros de Negócios, Fornecedores e quaisquer Terceiros que atuem em nome, interesse ou benefício do Grupo IES ou de suas controladas e coligadas. Esta Política abrange todas as atividades, processos, transações e relacionamentos do Grupo IES, tanto no Brasil quanto em qualquer outra jurisdição onde o Grupo ou suas empresas atuem, direta ou indiretamente.

 

3. PRINCÍPIOS ORIENTADORES

A atuação do Grupo IES em Controles Internos, Gestão de Riscos e Integridade Corporativa será pautada pelos seguintes princípios:

  1. Legalidade: Todas as ações e decisões devem estar em estrita conformidade com a legislação brasileira e as normas regulatórias aplicáveis.
  2. Ética e Integridade: Condução dos negócios com honestidade, transparência, imparcialidade e respeito aos mais elevados padrões éticos.
  3. Responsabilização: Atribuição clara de responsabilidades e prestação de contas por atos e omissões.
  4. Diligência e Zelo: Atuação com o máximo de cuidado e atenção na execução das atividades e na tomada de decisões.
  5. Transparência: Comunicação clara e objetiva das informações relevantes, tanto interna quanto externamente, respeitando os limites legais e contratuais de confidencialidade.
  6. Segregação de Funções: Separação de responsabilidades entre as etapas de autorização, execução, registro e controle de transações, visando reduzir a probabilidade de erros e fraudes.
  7. Abordagem Baseada em Risco: Priorização de recursos e esforços na gestão dos riscos mais relevantes e críticos para o Grupo IES.
  8. Não Retaliação: Garantia de proteção a qualquer indivíduo que, de boa-fé, reporte preocupações ou denúncias de conduta indevida.
  9. Melhoria Contínua: Busca constante pelo aprimoramento dos controles internos, processos de gestão de riscos e programas de integridade.
  10. Confidencialidade: Tratamento adequado e restrito de informações sensíveis, especialmente aquelas relacionadas a denúncias e investigações.

 

4. GOVERNANÇA, PAPÉIS E RESPONSABILIDADES

A efetividade desta Política depende do engajamento e da colaboração de todos os níveis hierárquicos e áreas do Grupo IES. As responsabilidades são distribuídas da seguinte forma:

4.1 Diretoria e Alta Administração

A Diretoria e a Alta Administração são as principais responsáveis pela promoção de uma cultura de integridade e pelo estabelecimento de um ambiente de controle. Compete-lhes:

  • Aprovar e endossar esta Política e suas revisões periódicas.
  • Assegurar a alocação de recursos humanos, tecnológicos e financeiros adequados para a implementação e manutenção dos controles internos e programas de integridade.
  • Definir o apetite e a tolerância a riscos do Grupo IES.
  • Promover a cultura de ética, conformidade e gestão de riscos em toda a organização.
  • Receber e analisar relatórios periódicos sobre a efetividade dos controles internos e a gestão de riscos.
  • Deliberar sobre medidas corretivas e disciplinares em casos de violação grave desta Política.

4.2 Área de Compliance

A Área de Compliance é o órgão central de coordenação e supervisão desta Política. Compete-lhe:

  • Desenvolver, implementar e revisar esta Política e seus procedimentos correlatos.
  • Coordenar a identificação, avaliação, tratamento e monitoramento de riscos.
  • Gerenciar o Canal de Denúncias, garantindo sua independência e efetividade.
  • Conduzir ou supervisionar as Investigações Internas, assegurando imparcialidade e rigor.
  • Coordenar os processos de Due Diligence de Terceiros.
  • Fornecer orientação e treinamento contínuo sobre os temas desta Política.
  • Monitorar a conformidade com as leis e regulamentos aplicáveis.
  • Reportar periodicamente à Diretoria sobre a efetividade dos controles e o status dos programas de integridade.
  • Atuar como ponto focal para dúvidas e esclarecimentos sobre esta Política.

4.3 Área Financeira

A Área Financeira é responsável pela integridade e exatidão das informações financeiras e pela gestão dos recursos do Grupo IES. Compete-lhe:

  • Implementar e manter controles internos robustos sobre as transações financeiras, contábeis e fiscais.
  • Assegurar a segregação de funções nos processos de pagamentos, recebimentos e registros contábeis.
  • Validar a documentação de suporte de todas as transações financeiras.
  • Identificar e reportar ao Compliance quaisquer inconsistências, irregularidades ou atividades suspeitas.
  • Colaborar com as Investigações Internas, fornecendo dados e análises financeiras.

4.4 Área Comercial

A Área Comercial é a porta de entrada para muitos dos relacionamentos do Grupo IES. Compete-lhe:

  • Conduzir as negociações de forma ética e transparente, em conformidade com o Código de Conduta e esta Política.
  • Realizar a qualificação inicial de clientes e parceiros, coletando as informações necessárias para a Due Diligence de Terceiros.
  • Identificar e reportar ao Compliance quaisquer sinais de alerta ou situações que possam configurar conflito de interesses ou risco de integridade.
  • Abster-se de promessas ou acordos que possam violar esta Política ou a legislação aplicável.

4.5 Área de Operações

A Área de Operações é responsável pela execução das atividades-fim do Grupo IES. Compete-lhe:

  • Implementar e seguir os procedimentos operacionais padrão, garantindo a conformidade e a qualidade dos serviços.
  • Manter registros precisos e completos das atividades operacionais.
  • Identificar e reportar ao Compliance ou à gestão de riscos quaisquer falhas, incidentes ou desvios nos processos.
  • Assegurar que as operações sejam executadas de acordo com os contratos e as aprovações internas.

4.6 Área Jurídica

A Área Jurídica é responsável pela conformidade legal do Grupo IES. Compete-lhe:

  • Prestar consultoria e assessoria jurídica sobre as leis e regulamentos aplicáveis a esta Política.
  • Revisar e validar contratos, termos e condições para assegurar a inclusão de cláusulas de integridade e conformidade.
  • Apoiar as Investigações Internas, garantindo o devido processo legal e a proteção dos direitos dos envolvidos.
  • Representar o Grupo IES em questões legais relacionadas a esta Política.

4.7 Área de Tecnologia da Informação (TI)

A Área de TI é fundamental para a segurança e integridade das informações. Compete-lhe:

  • Implementar e manter controles de segurança da informação para proteger os dados do Grupo IES.
  • Assegurar a disponibilidade, integridade e confidencialidade dos sistemas e informações.
  • Apoiar o Canal de Denúncias e as Investigações Internas com ferramentas tecnológicas e expertise técnica.
  • Garantir a rastreabilidade e o registro de acessos e alterações em sistemas críticos.

4.8 Colaboradores e Terceiros

Todos os Colaboradores e Terceiros que se relacionam com o Grupo IES têm o dever de:

  • Conhecer, compreender e cumprir integralmente esta Política e o Código de Conduta.
  • Agir com ética, integridade e transparência em todas as suas atividades.
  • Reportar imediatamente quaisquer violações ou suspeitas de violação desta Política, do Código de Conduta ou da legislação aplicável.
  • Colaborar com as Investigações Internas e auditorias.
  • Declarar potenciais conflitos de interesses.

 

5. SEÇÃO 1: GESTÃO DE RISCOS / RISK MANAGEMENT

A Gestão de Riscos no Grupo IES é um processo contínuo e sistemático de identificação, avaliação, mensuração, tratamento, monitoramento e comunicação de riscos que possam afetar o alcance dos objetivos estratégicos, operacionais, financeiros e de conformidade da organização. Sua finalidade é proteger o valor da empresa, otimizar a tomada de decisões e garantir a sustentabilidade do negócio.

5.1 Conceito e Finalidade

A Gestão de Riscos é o conjunto de atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. Para o Grupo IES, sua finalidade é antecipar, compreender e responder proativamente a incertezas, minimizando perdas potenciais e maximizando oportunidades. Em sua atuação como holding, a Gestão de Riscos visa proteger o patrimônio e a reputação do grupo, assegurando a solidez das empresas controladas e a conformidade de suas operações.

5.2 Princípios da Gestão de Riscos

A estrutura de Gestão de Riscos do Grupo IES será orientada pelos seguintes princípios:

  • Integrada: Parte integrante de todos os processos de gestão e tomada de decisão.
  • Estruturada e Abrangente: Abordagem sistemática, completa e tempestiva.
  • Personalizada: Adaptada ao contexto e aos objetivos específicos do Grupo IES e suas controladas.
  • Inclusiva: Envolve a participação de todas as partes interessadas relevantes.
  • Dinâmica: Responde a mudanças e é continuamente aprimorada.
  • Baseada nas Melhores Informações Disponíveis: Utiliza dados históricos, análises preditivas e expertise.
  • Considera Fatores Humanos e Culturais: Reconhece o impacto do comportamento humano.
  • Transparente: Comunica os riscos e as decisões de forma clara.

5.3 Escopo

A Gestão de Riscos abrange todos os riscos inerentes às atividades do Grupo IES, incluindo, mas não se limitando a:

  • Riscos Estratégicos: Relacionados à definição e execução da estratégia de negócios.
  • Riscos Operacionais: Falhas em processos internos, pessoas, sistemas ou eventos externos (ex: fraude, falha de TI, interrupção de negócios).
  • Riscos Financeiros: Mercado, crédito, liquidez, câmbio, juros.
  • Riscos de Conformidade (Compliance): Não cumprimento de leis, regulamentos, políticas internas e padrões éticos (ex: PLD/FT, Anticorrupção, LGPD).
  • Riscos Reputacionais: Danos à imagem e credibilidade do Grupo IES.
  • Riscos Cibernéticos: Ataques cibernéticos, vazamento de dados, interrupção de sistemas.
  • Riscos de Terceiros: Riscos decorrentes da relação com fornecedores, parceiros e prestadores de serviços.
  • Riscos Societários e de Governança: Relacionados à estrutura e funcionamento da holding e suas controladas.

5.4 Classificação de Riscos

Os riscos serão classificados com base na avaliação de sua probabilidade de ocorrência e impacto potencial, utilizando uma matriz de risco que os categoriza em:

  • Baixo Risco: Baixa probabilidade e baixo impacto.
  • Médio Risco: Probabilidade ou impacto moderado.
  • Alto Risco: Alta probabilidade ou impacto significativo.
  • Risco Crítico: Alta probabilidade e impacto severo, exigindo atenção imediata da alta administração.

5.5 Metodologia de Identificação, Avaliação e Tratamento

O Grupo IES adota uma metodologia estruturada para a gestão de riscos, que inclui:

  1. Identificação: Mapeamento proativo de riscos por meio de workshops, entrevistas, análise de processos, revisão de incidentes passados e monitoramento de cenários externos.
  2. Avaliação: Análise qualitativa e/ou quantitativa da probabilidade de ocorrência e do impacto potencial de cada risco, considerando os controles existentes.
  3. Mensuração: Atribuição de valores ou escalas para a probabilidade e o impacto, permitindo a priorização dos riscos.
  4. Tratamento: Definição e implementação de planos de ação para gerenciar os riscos, que podem incluir:  Evitar: Eliminar a atividade que gera o risco.
  5. Mitigar: Implementar ou aprimorar controles para reduzir a probabilidade ou o impacto.
  6. Transferir: Compartilhar o risco com terceiros (ex: seguros, contratos).
  7. Aceitar: Assumir o risco, quando o custo da mitigação supera o benefício, com aprovação da alçada competente e monitoramento.

5.6 Apetite e Tolerância a Risco

O Grupo IES possui um apetite de risco conservador para riscos que possam comprometer sua integridade, reputação, conformidade legal e financeira. A tolerância a riscos de fraude, corrupção, lavagem de dinheiro e violação de dados é zero. Para outros riscos, a Diretoria definirá os limites de tolerância, que serão comunicados e monitorados. Qualquer exposição a risco que exceda o apetite ou a tolerância estabelecida deverá ser imediatamente reportada e tratada.

5.7 Responsabilidades na Gestão de Riscos

As responsabilidades específicas na Gestão de Riscos são:

  • Diretoria: Definir o apetite a risco, aprovar a Política de Gestão de Riscos e monitorar os riscos estratégicos.
  • Área de Compliance: Coordenar a metodologia, consolidar a matriz de riscos, monitorar a implementação dos planos de ação e reportar à Diretoria.
  • Gestores de Área: Identificar, avaliar e propor planos de tratamento para os riscos de suas respectivas áreas, assegurando a implementação dos controles.
  • Colaboradores: Identificar e reportar riscos e incidentes em suas atividades diárias.

5.8 Monitoramento, Revisão e Documentação

A Gestão de Riscos será continuamente monitorada por meio de indicadores de desempenho e de risco (KPIs e KRIs), auditorias internas e externas, e revisões periódicas da matriz de riscos. A matriz de riscos será revisada, no mínimo, anualmente ou sempre que houver mudanças significativas no ambiente de negócios, regulatório ou estratégico do Grupo IES. Toda a documentação relacionada à Gestão de Riscos, incluindo análises, planos de ação e relatórios, será devidamente registrada e arquivada pelo prazo legal aplicável.

5.9 Riscos Prioritários do Grupo IES

Considerando sua natureza de holding, o Grupo IES prioriza a gestão dos seguintes riscos:

  • Risco de Governança: Falhas na estrutura de controle e supervisão das controladas.
  • Risco de Conformidade Regulatória: Descumprimento de normas específicas aplicáveis às subsidiárias ou ao próprio Grupo IES.
  • Risco de Integridade: Fraude, corrupção, lavagem de dinheiro e conflito de interesses em qualquer nível do grupo.
  • Risco Reputacional: Danos à imagem do Grupo IES decorrentes de ações ou omissões de suas controladas ou de terceiros.
  • Risco de Operações Intercompany: Transações entre empresas do grupo sem lastro econômico ou com condições não equitativas.
  • Risco de Beneficiário Final: Dificuldade ou falha na identificação do beneficiário final das empresas do grupo ou de seus parceiros.
  • Risco Cibernético e de Proteção de Dados: Ataques cibernéticos e vazamento de dados sensíveis, especialmente em relação à LGPD.

 

6. SEÇÃO 2: CONFLITO DE INTERESSES / CONFLICT OF INTEREST

O Grupo IES exige que todos os seus Colaboradores e Terceiros ajam com lealdade e em benefício exclusivo dos interesses da empresa. Esta seção estabelece as diretrizes para identificar, prevenir e gerenciar situações de Conflito de Interesses.

6.1 Definição

Conflito de Interesses é qualquer situação em que os interesses pessoais (sejam financeiros, familiares, sociais, políticos ou de outra natureza) de um Colaborador ou Terceiro, ou de pessoas a ele relacionadas, possam influenciar ou parecer influenciar, de forma indevida, suas decisões ou ações no desempenho de suas funções ou em suas relações com o Grupo IES, em detrimento dos interesses da empresa.

6.2 Hipóteses Típicas de Conflito de Interesses

São exemplos de situações que podem configurar Conflito de Interesses, sem se limitar a elas:

  • Possuir participação societária, direta ou indireta, em empresas concorrentes, fornecedoras, clientes ou parceiras do Grupo IES, que possa gerar vantagem indevida ou influenciar decisões.
  • Exercer cargo ou função em empresa concorrente, fornecedora, cliente ou parceira do Grupo IES.
  • Contratar ou influenciar a contratação de familiares ou pessoas próximas para o Grupo IES ou para empresas com as quais o Grupo IES mantém relacionamento comercial.
  • Receber ou oferecer presentes, brindes, hospitalidade ou entretenimento que excedam os limites razoáveis de cortesia comercial ou que possam influenciar decisões de negócios.
  • Utilizar informações confidenciais ou privilegiadas do Grupo IES para benefício próprio ou de terceiros.
  • Realizar transações comerciais com o Grupo IES ou suas controladas em condições não equitativas ou sem a devida transparência.
  • Aproveitar-se de oportunidades de negócios que deveriam ser do Grupo IES para benefício próprio.

6.3 Dever de Declaração e Reporte

Todo Colaborador ou Terceiro que se encontre em uma situação de potencial ou efetivo Conflito de Interesses, ou que tenha conhecimento de tal situação envolvendo outro indivíduo, tem o dever de declará-la imediatamente à Área de Compliance, utilizando o Formulário de Declaração de Conflito de Interesses (Anexo B). A omissão ou a declaração falsa será considerada violação grave desta Política.

6.4 Regras de Abstenção e Impedimento

Uma vez declarado um Conflito de Interesses, o indivíduo envolvido deverá abster-se de participar de qualquer decisão, negociação ou atividade relacionada à situação de conflito, até que a Área de Compliance avalie e determine as medidas mitigadoras apropriadas. Em casos de impedimento, o indivíduo não poderá atuar no processo decisório.

6.5 Avaliação e Mitigação

A Área de Compliance será responsável por avaliar cada situação de Conflito de Interesses declarada, determinando se há um conflito real, potencial ou aparente e quais medidas mitigadoras devem ser implementadas. As medidas podem incluir, mas não se limitam a:  Afastamento do processo decisório. Transferência de responsabilidades. Monitoramento especial da situação. Desinvestimento em participações societárias. Encerramento do relacionamento com o terceiro.  A decisão da Área de Compliance será comunicada ao envolvido e registrada.

6.6 Medidas Disciplinares

O descumprimento das disposições desta seção, a omissão na declaração de Conflito de Interesses ou a não observância das medidas mitigadoras determinadas pela Área de Compliance, sujeitará o infrator às sanções disciplinares previstas nesta Política, sem prejuízo das medidas legais cabíveis.

 

7. SEÇÃO 3: CANAL DE DENÚNCIAS / WHISTLEBLOWING

O Canal de Denúncias do Grupo IES é uma ferramenta essencial para a detecção precoce de condutas antiéticas, ilegais ou em desacordo com as políticas internas. Ele visa proporcionar um ambiente seguro para que Colaboradores e Terceiros possam reportar preocupações de boa-fé.

7.1 Finalidade

O Canal de Denúncias tem como finalidade receber informações sobre violações ou suspeitas de violação do Código de Conduta, desta Política, da legislação aplicável (incluindo, mas não se limitando a, fraude, corrupção, assédio, discriminação, lavagem de dinheiro, conflito de interesses, vazamento de informações confidenciais) e outras irregularidades que possam afetar o Grupo IES.

7.2 Princípios do Canal de Denúncias

O funcionamento do Canal de Denúncias é regido pelos seguintes princípios:

  • Confidencialidade: Todas as informações recebidas serão tratadas com a máxima confidencialidade, restringindo o acesso apenas às pessoas envolvidas na triagem e investigação.
  • Anonimato: O denunciante tem a opção de realizar a denúncia de forma anônima, sendo sua identidade protegida. A escolha pelo anonimato não prejudicará a análise da denúncia.
  • Boa-fé: O Canal destina-se a denúncias feitas de boa-fé, ou seja, com base em informações que o denunciante acredita serem verdadeiras no momento do reporte. Denúncias comprovadamente falsas, maliciosas ou caluniosas poderão sujeitar o denunciante a medidas disciplinares e legais.
  • Não Retaliação: O Grupo IES garante que nenhum indivíduo que, de boa-fé, utilize o Canal de Denúncias ou colabore com uma investigação será retaliado, discriminado ou prejudicado em sua carreira ou relacionamento com a empresa. Qualquer ato de retaliação será tratado como violação grave desta Política.

7.3 Formas de Recebimento

O Canal de Denúncias estará disponível por múltiplos meios, garantindo acessibilidade e segurança, tais como:

  • Plataforma eletrônica externa e independente (preferencialmente).
  • Endereço de e-mail dedicado e exclusivo.
  • Número de telefone (0800) com atendimento por empresa especializada.
  • Caixa postal física.

Os detalhes de acesso ao Canal serão amplamente divulgados a todos os Colaboradores e Terceiros.

7.4 Tratamento Preliminar

Todas as denúncias recebidas serão inicialmente triadas pela Área de Compliance (ou por um comitê de ética/integridade, se houver) para verificar a existência de informações mínimas que permitam a sua análise e eventual investigação. Denúncias vagas, sem elementos mínimos ou claramente fora do escopo do Canal poderão ser arquivadas após registro.

7.5 Triagem, Priorização e Encaminhamento

Após o tratamento preliminar, as denúncias serão triadas, priorizadas com base na gravidade e no impacto potencial, e encaminhadas para a equipe responsável pela investigação interna. O Fluxo de Recebimento e Tratamento de Denúncias (Anexo C) detalha este processo.

7.6 Proteção ao Denunciante

O Grupo IES se compromete a proteger a identidade do denunciante que optar pelo anonimato e a garantir que não haverá retaliação contra aqueles que reportarem de boa-fé. Medidas de proteção incluem:

  • Confidencialidade da identidade do denunciante.
  • Monitoramento de possíveis atos de retaliação.
  • Apoio e orientação ao denunciante, se necessário.

7.7 Registro e Evidências

Todas as denúncias, seu tratamento, as investigações decorrentes e as conclusões serão devidamente registradas e arquivadas em sistema seguro, com controle de acesso restrito, garantindo a rastreabilidade e a integridade das informações.

 

8. SEÇÃO 4: INVESTIGAÇÕES INTERNAS / INTERNAL INVESTIGATIONS

As Investigações Internas são processos formais e estruturados para apurar denúncias de condutas indevidas, garantindo a coleta de evidências, a análise imparcial dos fatos e a aplicação de medidas corretivas e disciplinares apropriadas.

8.1 Hipótese de Instauração

Uma Investigação Interna será instaurada sempre que houver indícios razoáveis de violação do Código de Conduta, desta Política, da legislação aplicável ou de outras irregularidades que possam causar dano ao Grupo IES, seus Colaboradores ou Terceiros. A decisão de instaurar uma investigação será tomada pela Área de Compliance, em conjunto com a Diretoria, se necessário.

8.2 Governança e Independência

As Investigações Internas serão conduzidas pela Área de Compliance, que poderá contar com o apoio da Área Jurídica, de Recursos Humanos, de TI ou de consultores externos independentes, conforme a complexidade e a natureza do caso. A equipe de investigação atuará com total independência, imparcialidade e objetividade, sem interferências indevidas.

8.3 Preservação de Evidências

Ao tomar conhecimento de uma denúncia ou suspeita, a equipe de investigação deverá imediatamente adotar medidas para preservar todas as evidências relevantes, incluindo documentos físicos e eletrônicos, comunicações, dados de sistemas e outros registros, a fim de evitar sua alteração, destruição ou ocultação.

8.4 Etapas da Apuração

As Investigações Internas seguirão um roteiro estruturado (Anexo D), que inclui, mas não se limita a:

  1. Planejamento: Definição do escopo, equipe, cronograma e recursos necessários.
  2. Coleta de Evidências: Levantamento de documentos, registros eletrônicos, e-mails, mensagens, dados de sistemas, imagens, vídeos e outras informações relevantes.
  3. Entrevistas: Realização de entrevistas com o denunciante (se não anônimo), testemunhas e pessoas envolvidas, garantindo o direito à defesa e o devido processo legal.
  4. Análise: Avaliação crítica das evidências coletadas, buscando correlações, inconsistências e a veracidade dos fatos.

8.5 Entrevistas, Coleta Documental e Análise

As entrevistas serão conduzidas de forma profissional e respeitosa, com o objetivo de obter informações relevantes. Os entrevistados serão informados sobre o propósito da entrevista e seus direitos. A coleta documental será realizada de forma forense, garantindo a cadeia de custódia e a integridade dos dados. A análise de todas as informações será objetiva e baseada em fatos.

8.6 Relatório Final

Ao final da investigação, será elaborado um Relatório Final detalhado, contendo:

  • Resumo dos fatos apurados.
  • Metodologia utilizada.
  • Evidências coletadas.
  • Análise dos fatos e conclusões.
  • Recomendações de medidas corretivas e disciplinares.

O relatório será apresentado à Diretoria para deliberação.

8.7 Conclusão, Medidas Corretivas e Disciplinares

Com base nas conclusões do Relatório Final, a Diretoria decidirá sobre as medidas a serem adotadas, que podem incluir:

  • Aplicação de sanções disciplinares (advertência, suspensão, demissão por justa causa).
  • Revisão e aprimoramento de controles internos.
  • Treinamento específico.
  • Comunicação às autoridades competentes, quando exigido por lei.
  • Recuperação de perdas ou danos.

8.8 Sigilo e Proteção de Dados

Todas as informações e dados pessoais coletados durante as investigações serão tratados com a máxima confidencialidade e em estrita conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) e demais legislações aplicáveis. O acesso a essas informações será restrito apenas às pessoas autorizadas e estritamente necessárias para a condução da investigação e para o cumprimento de obrigações legais.

 

9. SEÇÃO 5: DUE DILIGENCE DE TERCEIROS / THIRD-PARTY DUE DILIGENCE

A Due Diligence de Terceiros é um processo fundamental para mitigar os riscos associados à contratação e relacionamento com fornecedores, parceiros, consultores, representantes e outros prestadores de serviços. Seu objetivo é avaliar a idoneidade, a reputação e a conformidade de terceiros antes e durante o relacionamento com o Grupo IES.

9.1 Cadastro e Qualificação

Antes de iniciar qualquer relacionamento comercial, todo Terceiro deverá ser devidamente cadastrado e qualificado. O processo de qualificação inicial inclui a coleta de informações básicas, como razão social, CNPJ/CPF, endereço, dados de contato, objeto social/atividade, e documentos societários/pessoais.

9.2 Beneficiário Final

É obrigatória a identificação do Beneficiário Final de toda pessoa jurídica Terceira. O Grupo IES exigirá a apresentação de documentos e declarações que permitam rastrear a cadeia de controle até a pessoa natural que, em última instância, detém o controle ou o benefício econômico da entidade. A impossibilidade de identificar o Beneficiário Final poderá ser motivo para recusa do relacionamento.

9.3 Avaliação Reputacional, Legal, Financeira e Operacional

A Due Diligence de Terceiros incluirá uma avaliação multifacetada, conforme o nível de risco:

  • Avaliação Reputacional: Pesquisa em fontes públicas e privadas (mídia, redes sociais, listas de sanções, PEPs – Pessoas Expostas Politicamente, listas restritivas) para identificar envolvimento em atos ilícitos, processos judiciais, investigações ou notícias negativas.
  • Avaliação Legal: Verificação de licenças, alvarás, certidões negativas, histórico de litígios e conformidade com a legislação aplicável ao seu setor de atuação.
  • Avaliação Financeira: Análise da saúde financeira do Terceiro, capacidade de cumprimento de obrigações e compatibilidade de seu porte com as transações propostas.
  • Avaliação Operacional: Verificação da capacidade técnica e operacional do Terceiro para entregar os serviços ou produtos contratados.

9.4 Classificação de Risco

Com base na avaliação da Due Diligence, cada Terceiro será classificado em níveis de risco (Baixo, Médio, Alto ou Crítico), conforme a Matriz Simplificada de Risco (Anexo F). A classificação determinará o nível de diligência e monitoramento contínuo a ser aplicado.

9.5 Cláusulas Contratuais Mínimas

Todos os contratos com Terceiros deverão incluir cláusulas de integridade e conformidade, tais como:

  • Compromisso com o Código de Conduta e as políticas do Grupo IES.
  • Declaração de não envolvimento em atos de corrupção, fraude ou lavagem de dinheiro.
  • Autorização para o Grupo IES realizar auditorias e verificações de conformidade.
  • Cláusulas de proteção de dados e confidencialidade.
  • Previsão de rescisão contratual em caso de violação das cláusulas de integridade.

9.6 Monitoramento Contínuo

Terceiros classificados como de Médio, Alto ou Crítico Risco serão submetidos a monitoramento contínuo, que pode incluir verificações periódicas em listas de sanções, notícias e outras fontes de informação, bem como o acompanhamento do desempenho e da conformidade contratual.

9.7 Revalidação Periódica

A Due Diligence de Terceiros será revalidada periodicamente, com frequência definida pela Área de Compliance com base na classificação de risco do Terceiro (ex: anualmente para Alto Risco, a cada dois anos para Médio Risco). A revalidação incluirá a atualização das informações cadastrais e a repetição das avaliações reputacional, legal e financeira.

9.8 Hipóteses de Recusa, Suspensão ou Encerramento

O Grupo IES poderá recusar, suspender ou encerrar o relacionamento com um Terceiro nas seguintes hipóteses:

  • Não fornecimento das informações e documentos solicitados para a Due Diligence.
  • Identificação de riscos de integridade inaceitáveis ou não mitigáveis.
  • Violação das cláusulas de integridade e conformidade contratual.
  • Envolvimento em atos de fraude, corrupção, lavagem de dinheiro ou outras ilegalidades.
  • Inconsistências ou informações falsas fornecidas durante o processo de Due Diligence.

 

10. CONTROLES OPERACIONAIS, MONITORAMENTO, AUDITORIA, TREINAMENTO E REVISÃO PERIÓDICA

A efetividade desta Política depende da implementação de controles operacionais robustos, do monitoramento contínuo, da realização de auditorias independentes e da capacitação constante de todos os envolvidos.

10.1 Controles Operacionais

O Grupo IES manterá controles operacionais em todos os seus processos e áreas, visando garantir a execução das atividades de forma eficiente, segura e em conformidade. Esses controles incluem, mas não se limitam a:

  • Segregação de funções.
  • Alçadas de aprovação e autorização.
  • Conciliações e verificações independentes.
  • Controles de acesso físico e lógico.
  • Políticas e procedimentos documentados.
  • Controles de segurança da informação.

10.2 Monitoramento Contínuo

A Área de Compliance, em conjunto com as demais áreas, realizará o monitoramento contínuo da efetividade dos controles internos, da gestão de riscos e da aderência a esta Política. O monitoramento incluirá a análise de indicadores de desempenho e de risco, a revisão de transações e processos, e o acompanhamento de planos de ação.

10.3 Auditoria Interna e Externa

O Grupo IES poderá ser submetido a auditorias internas e externas periódicas para avaliar a adequação e a efetividade de seus controles internos e programas de integridade. As auditorias serão conduzidas por profissionais qualificados e independentes, e seus resultados serão reportados à Diretoria para análise e implementação de recomendações.

10.4 Treinamento e Capacitação

O Grupo IES promoverá programas de treinamento e capacitação contínuos sobre os temas desta Política, incluindo Controles Internos, Gestão de Riscos, Conflito de Interesses, Canal de Denúncias, Investigações Internas e Due Diligence de Terceiros. Os treinamentos serão obrigatórios para todos os Colaboradores e adaptados às necessidades específicas de cada área e nível hierárquico. Terceiros relevantes também poderão ser convidados a participar.

10.5 Revisão Periódica da Política

Esta Política será revisada, no mínimo, anualmente pela Área de Compliance e aprovada pela Diretoria. Revisões extraordinárias poderão ocorrer sempre que houver mudanças significativas na legislação, regulamentação, ambiente de negócios, estrutura organizacional do Grupo IES ou em decorrência de incidentes relevantes. O objetivo é garantir que a Política permaneça atualizada, relevante e eficaz.

 

11. SANÇÕES POR DESCUMPRIMENTO

O descumprimento de qualquer disposição desta Política, do Código de Conduta ou da legislação aplicável, sujeitará o infrator às seguintes medidas, conforme a gravidade da conduta e as circunstâncias do caso:

  • Advertência verbal ou escrita.
  • Suspensão do contrato de trabalho ou de prestação de serviços.
  • Rescisão do contrato de trabalho por justa causa ou do contrato de prestação de serviços.
  • Descredenciamento como fornecedor ou parceiro.
  • Ações judiciais para reparação de danos e perdas sofridas pelo Grupo IES.
  • Comunicação às autoridades competentes, quando exigido por lei ou quando a conduta configurar ilícito penal ou administrativo.

As sanções serão aplicadas após a conclusão de uma Investigação Interna, garantindo o direito à ampla defesa e ao contraditório, em conformidade com a legislação trabalhista e civil aplicável.

 

12. CLÁUSULA FINAL DE COMPROMISSO

Todos os Colaboradores e Terceiros que se relacionam com o Grupo IES – Innovation | Economy | Security Ltda. declaram ter lido, compreendido e se comprometem a cumprir integralmente as disposições contidas nesta Política Interna Operacional de Controles Internos, Gestão de Riscos, Conflito de Interesses, Canal de Denúncias, Investigações Internas e Due Diligence de Terceiros. O compromisso com a integridade, a ética e a conformidade é inegociável e fundamental para a sustentabilidade e a reputação do Grupo IES.