Política de Compliance e Controles Internos

Objetivos

Formalizar os procedimentos para gerenciamento dos riscos de compliance e controles internos na Garza.

A quem se aplica?

Sócios, diretores e funcionários que participem, de forma direta, das atividades diárias e negócios, representando a Garza (doravante, “Colaboradores”).

Os Colaboradores devem atender às diretrizes e procedimentos estabelecidos nesta Política, informando qualquer irregularidade ao Diretor de Compliance.

Responsabilidades

Cabe à Garza, garantir, por meio de regras, procedimentos e controles internos adequados, o permanente atendimento às normas, políticas e regulamentações vigentes, referentes às diversas modalidades de investimento, à própria atividade de consultoria de valores mobiliários e aos seus padrões éticos e profissionais.

Todos devem adotar e cumprir as diretrizes e controles aplicáveis à Garza contidas nesta Política, zelando para que todas as normas éticas e legais sejam cumpridas por todos aqueles com quem são mantidas relações de cunho profissional, e comunicando imediatamente qualquer violação ao responsável por Compliance.

O Diretor de Compliance deve auxiliar a alta administração da Garza a assegurar a efetividade do Sistema de Controles Internos.

A alta administração da Garza é responsável pelo gerenciamento do risco de Compliance. Cabe à alta administração da Garza:

Indicar um diretor estatutário responsável pelo Compliance, com capacidade técnica e função independente das relacionadas à consultoria de valores mobiliários, devendo tal profissional ter acesso a todas as informações e pessoas no exercício de suas atribuições;
Aprovar, estabelecer e divulgar esta Política de Compliance;
Garantir a efetividade do gerenciamento do risco de Compliance. O Diretor
responsável pelo Compliance deve:

o AuxiliaraaltaadministraçãonogerenciamentoefetivodoriscodeCompliance;

o GerenciaroComitêdeCompliance,garantindoseuadequadofuncionamento;

o SecretariaroConselhodeÉtica,compostopelosmembrosdadiretoria,equese reúne apenas sob demanda para avaliação de casos de desvio de conduta graves;

o Monitorar e exercer os controles e procedimentos necessários ao cumprimento das normas.

Versão: JAN 2023 1

Todos os Colaboradores devem estar comprometidos com a cultura de Compliance e reportar, imediatamente, ao Diretor de Compliance, qualquer suspeita e/ou evidência de desconformidade.

É responsabilidade dos Colaboradores da Garza o cumprimento das normas legais e infralegais a ela aplicáveis, bem como do Código de Ética e Conduta Profissional, devendo comunicar imediatamente a ocorrência de violações e/ou indícios de violação ao responsável pelo Compliance.

Revisão e Atualização

Esta Política deverá ser revisada a atualizada a cada 2 (dois) anos, ou em prazo inferior, em função de mudanças legais/regulatórias.

Risco de Compliance

A alta administração é responsável pelo gerenciamento do risco de compliance, que consiste em risco de sanções legais e regulamentares, perdas financeiras e reputacionais decorrentes de falhas em procedimentos, falhas em controles e do descumprimento de disposições legais, regulamentares, autorregulatórias e do Código de Ética e Conduta Profissional.

Escopo e Atribuições do Compliance

O Diretor responsável pelo Compliance deve auxiliar a alta administração no

gerenciamento efetivo dos controles internos e do risco de compliance. O escopo de atuação do Compliance abrange:

Temas Regulatórios

Acompanhamento de leis, regulamentações, melhores práticas e diretrizes de autorregulação aplicáveis à Garza, promovendo o conhecimento e controlando a aderência às leis, regulamentações, melhores práticas e diretrizes de autorregulação aplicáveis às atividades da HERON INVESTIMENTOS (exceto as trabalhistas, contábeis e tributárias, devido à sua especificidade);
Auxiliar a alta administração da Garza no relacionamento com órgãos reguladores;
Assegurar que as informações requeridas pelos reguladores sejam fornecidas no prazo e qualidade requeridos;
Estabelecer controles para a efetividade no cumprimento das regras e procedimentos internos e cumprimento das normas e da autorregulação;
Analisar informações e/ou indícios de descumprimentos regulatórios e demais comunicações recebidas, e, quando aplicável, comunicar aos órgãos competentes (internos e externos) nos prazos regulatórios;

Versão: JAN 2023 2

Monitorar os requisitos para manutenção do registro de consultoria de valores mobiliários perante a CVM;
Atuar para que haja efetividade na segregação física de atividades conflitantes com a atividade de consultoria.
Boas Práticas

Disseminar o Código de Ética e Conduta Profissional, bem como as políticas internas da Garza, garantindo que estejam atualizadas e mantidas em diretório acessível a todos que devam ter conhecimento dos mesmos;
Coletar os Termos de Conhecimento por eles assinados, e fazer o controle desses documentos;
Disponibilizar aos novos Colaboradores as políticas aplicáveis;
Estabelecer controles para que todos os Colaboradores da Garza que desempenhem funções ligadas à consultoria de valores mobiliários atuem com independência e atentem ao devido dever fiduciário para com seus clientes, e que os interesses comerciais, ou aqueles de seus clientes não influenciem em seu trabalho;
Servir como canal para comunicações de desconformidades regulatórias e/ou de temas relacionados às políticas internas da Garza, ao seu critério de avaliação e julgamento, no fórum mais adequado, os temas ao Comitê de Compliance ou ao Conselho de Ética;
Monitorar temas inerentes ao Código de Ética e Conduta Profissional, como, por exemplo, mas a tanto não se limitando: risco reputacional, confidencialidade da informação, segregação de funções e conflito de interesses, assédio, fraudes, corrupção e lavagem de dinheiro;
Monitorar a “Política de Investimentos Pessoais e da Empresa”;
Monitorar, identificar e administrar eventuais conflitos de interesse que possam afetar a independência das pessoas que desempenhem funções ligadas à consultoria de valores mobiliários. Nos casos aplicáveis, cabe à Garza informar ao cliente o potencial conflito de interesses e as fontes desse conflito, antes de efetuar uma recomendação de investimento.
Governança e Controles internos

Aprovar novas políticas internas, ou a sua revisão, por força da regulamentação ou decisões internas;
Apresentar o resultado de seus controles e verificações no Comitê de Compliance;
Garantir que os controles internos sejam compatíveis com os riscos da Garza em suas atividades, bem como efetivos e consistentes com a natureza, complexidade e risco das operações realizadas para o exercício profissional de administração de carteiras de valores mobiliários e consultoria;
Aprovar novos relacionamentos com contrapartes na consultoria de valores Versão: JAN 2023 3

mobiliários, bem como a prestação de novos produtos e serviços pela Garza;

• Identificar, administrar e, se necessário, levar o tema para análise e deliberação no Comitê de Compliance ou Comitê de Ética, no caso de eventuais conflitos de interesses que possam afetar a imparcialidade dos Colaboradores da Garza especialmente os que desempenham funções ligadas à consultoria de valores mobiliários.

Segregação de Atividades

A GarzaS tem instalações que garantem a segregação da atividade de consultoria das demais atividades eventualmente exercidas por ela própria e/ou por outras empresas de seu grupo, que possam ter eventual conflito de interesse.

Obrigações Relativas a Registro de Informações

A Garza tem como prática manter no mínimo 80% (oitenta por cento) de seus consultores certificados, de forma alinhada com o patamar mínimo definido pela RCVM 19.

Obrigações Contratuais no Exercício de Consultoria

Os contratos de prestação de serviços da Garza obrigatoriamente tratam do conteúdo mínimo listado abaixo, cabendo ao Compliance monitorar a sua adequação à RCVM 19:

• descrição detalhada da remuneração cobrada pelos serviços;
• informações sobre outras atividades que o próprio consultor exerça e os

Versão: JAN 2023 4

potenciais conflitos de interesses existentes entre tais atividades e a consultoria de valores mobiliários;

informações sobre as atividades exercidas por sociedades controladoras, controladas, coligadas e sob controle comum ao consultor e os potenciais conflitos de interesses existentes entre tais atividades e a consultoria de valores mobiliários;
caso faça parte da estratégia recomendada pelo consultor, dentro do perfil, e, com a ciência e conhecimento do investidor, o contrato deve tratar dos riscos inerentes aos diversos tipos de operações com valores mobiliários nos mercados de bolsa, de balcão, nos mercados de liquidação futura, explicitando que a aplicação em derivativos (que pode resultar em perdas superiores ao investimento realizado), e nas operações de aluguel e/ou de empréstimo de ações;
o conteúdo e periodicidade das informações a serem prestadas ao cliente;
informação a respeito da abrangência dos serviços prestados, indicando os
mercados e tipos de valores mobiliários abrangidos;
procedimento a ser seguido caso um conflito de interesse, mesmo que potencial, surja após a celebração do contrato, incluindo prazo para notificação do cliente;
a possibilidade de cobrança de taxa de performance apenas de Investidores Profissionais; e
a obrigatoriedade de transferir ao cliente qualquer benefício ou vantagem que possa alcançar em decorrência de sua condição de consultor de valores mobiliários, exceto na hipótese de Investidor Profissional (quando for o caso), desde que ele assine um termo de ciência específico definido na norma.
É vedada a atuação como procurador ou representante de clientes perante instituições integrantes do sistema de distribuição de valores mobiliários, para fins de implementar e executar as operações que reflitam as recomendações objeto da consultoria prestada.

Análise e Comunicação aos Órgãos Competentes

Toda desconformidade em temas de conduta pessoal e profissional – e a sua respectiva análise efetuada pelo Compliance – deve ser submetida ao Conselho de Ética da Garza para conclusão e deliberação dos passos a serem dados a respeito.

Nos casos aplicáveis de desvio da norma específica das atividades reguladas, o Diretor de Compliance deve comunicar os respectivos órgãos competentes, nos prazos regulatórios, como seguem:

- a CVM deve ser comunicada no prazo máximo de 10 (dez) dias da ocorrência da mesma ou identificação;
- o COAF deve ser comunicado no prazo de 24 (vinte e quatro) horas da sua identificação.

Controles Internos

O Sistema de Controles Internos da Garza é composto por:

políticas internas formais;
Termos de Conhecimento das Políticas;
obrigações de registro e guarda de informações; e
comitês e organismos internos de gestão e governança.

Políticas Internas Formais

As regras, procedimentos e descrição dos controles internos elaborados para o cumprimento da RCVM 19 encontram-se formalizados nos seguintes documentos:

- Código de Ética; (*)
- Política de Compliance e Controles Internos; (*)
- Política de Suitability;
- Formulário de Referência; (*)
- Política de Investimentos Pessoais e da Empresa; (*)
- Política de Prevenção à Lavagem de Dinheiro e KYC (*)
  (*) Disponíveis no website da Garza.
  (https://www.heroninvestimentos.com.br), conforme determinado pela RCVM 19
  As políticas devem ser revisadas sempre que houver alteração, ou, no máximo, a cada 2 (dois) anos, e estão disponíveis em diretório público na rede interna para acesso de todos os Colaboradores.

Termos de Conhecimento das Políticas

Os Termos de Conhecimento do Código de Ética e Conduta Profissional, bem como de algumas políticas que estabelecem obrigações pessoais, devem ser assinados por todos os Colaboradores, quando de sua contratação.

Comitês e Organismos Internos de Gestão e Governança

A Garza adota uma estrutura de governança em que os Comitês e organismos internos de gestão e governança ocupam um papel central na questão de controles internos.

São organismos formais de decisão e controle:
• a Diretoria, com mandato, alçada e frequência definida no Contrato Social da Garza.

Versão: JAN 2023 6

INVESTIMENTOS;

o Comitê de Compliance; e
o Conselho de Ética.
A existência dos organismos acima não impede que, na dinâmica diária dos negócios da empresa e de seus clientes, sejam realizadas reuniões técnicas, decisões dos diretores ou discussão e decisões sobre temas de interesse da empresa e de seus clientes, de forma dinâmica, sem ritos formais de convocação ou registros de atas formais.
Estes fóruns dinâmicos não substituem a alçada dos organismos formais, nem dispensam sua realização/prática.

Conselho de Ética

O funcionamento do Conselho de Ética está previsto no Código de Ética e Conduta Profissional da Garza.

Comitê de Compliance

A estrutura de gerenciamento de compliance e controles internos é suportada pelas

atividades diárias da área e pelo Comitê.

O Comitê de Compliance tem como responsabilidade principal monitorar o cumprimento das normas, da autorregulação (quando e se aplicáveis) e demais regras e atribuições estabelecidas nesta Política e demais normas internas.

Neste Comitê, a título de exemplo, são tratados:

- erros e falhas operacionais, seu registro e tratamento/mitigação;
- violações de regras internas, prevenção de novas situações futuras e procedimentos;
- apresentar o resultado de mapeamento e acompanhamento de controles internos;
- aprovar novos relacionamentos com contrapartes na consultoria de valores mobiliários, bem como a prestação de novos produtos e serviços pela Garza;
- identificar, administrar e, se necessário, levar o tema para análise do Conselho de Ética, no caso de eventuais conflitos de interesses que possam afetar a imparcialidade dos Colaboradores da Garza especialmente os que desempenham funções ligadas à consultoria de valores mobiliários;
- controle do atendimento a obrigações relativas à certificação de Colaboradores;
- aprovação de revisões e mudanças de políticas internas;
- aprovação de mudanças internas em função de ajustes regulatórios;
- demais temas tratados na Política de Compliance da Garza. Periodicidade: trimestral
  Participantes: Diretores, Diretor de Compliance, e ao menos um integrante da equipe Versão: JAN 2023 7

de consultoria com alçada de decisão.

Convidados: demais colaboradores, porém, na qualidade de convidados, sem direito a voto.

Quórum mínimo: necessária a presença de ao menos um integrante da equipe de consultoria com alçada de decisão e do Diretor de Compliance.

Formalização das decisões: atas do Comitê.

Confidencialidade e Segurança da Informação Informações Confidenciais

São consideradas “Informações Confidenciais” aquelas não disponíveis ao público, que:

identifiquem dados pessoais ou patrimoniais (da Garza ou de clientes);
sejam objeto de acordo de confidencialidade celebrado com terceiros;
identifiquem ações estratégicas – dos negócios da Garza ou de
seus clientes;
todas as informações técnicas, jurídicas e financeiras, escritas ou arquivadas eletronicamente, que digam respeito às atividades da Garza, e que sejam devidamente identificadas como sendo confidenciais, ou que constituam sua propriedade intelectual ou industrial, e não estejam disponíveis, de qualquer outra forma, ao público em geral;
sejam assim consideradas em razão de determinação legal, regulamentar e/ou autorregulatória; e que o Colaborador utiliza para autenticação de sua identidade (senhas de acesso ou crachás), que são de uso pessoal e intransferível.
Não caracteriza descumprimento desta Política a divulgação de Informações Confidenciais: (i) mediante prévia autorização do Diretor de Compliance, (ii) em atendimento a ordens do Poder Judiciário ou autoridade regulatória, administrativa ou legislativa competente, bem como (iii) quando a divulgação se justificar, por força da natureza do contexto da revelação da informação, a advogados, auditores e contrapartes.
Em caso de dúvida, o Colaborador deverá consultar previamente o Diretor de Compliance acerca da possibilidade de compartilhamento da Informação Confidencial.

Disposições Gerais

Os seguintes princípios norteiam a segurança da informação na Garza:

Confidencialidade: o acesso à informação deve ser obtido somente por pessoas autorizadas, e quando for de fato necessário;

Disponibilidade: as pessoas autorizadas devem ter acesso à informação sempre que

Versão: JAN 2023 8

necessário;

Integridade: a informação deve ser mantida em seu estado original, visando a protegê- la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

As seguintes diretrizes devem ser seguidas por todos os Colaboradores da Garza:

as informações confidenciais devem ser tratadas de forma ética e sigilosa, e de acordo com as leis e normas internas vigentes, evitando-se mau uso e exposição indevida;
a informação deve ser utilizada apenas para os fins sob os quais foi coletada;
a concessão de acessos às informações confidenciais deve obedecer ao critério de menor privilégio, no qual os usuários têm acesso somente aos recursos de informação imprescindíveis para o pleno desempenho de suas atividades;
a identificação de qualquer Colaborador deve ser única, pessoal e intransferível, qualificando-o como responsável pelas ações realizadas;
segregação de instalações, equipamentos e informações comuns, quando aplicável;
a senha é utilizada como assinatura eletrônica e deve ser mantida secreta, sendo
proibido seu compartilhamento.
Qualquer risco ou ocorrência de falha na confidencialidade e na segurança da
informação deve ser reportado ao Diretor de Compliance.
Sempre que necessário, contratos de confidencialidade da informação devem ser assinados com terceiros, sob supervisão do Diretor de Compliance, e, se reputado necessário, da assessoria jurídica da HERON INVESTIMENTOS.
A informação deve receber proteção adequada. Em caso de dúvida, o Colaborador deverá consultar o Diretor de Compliance.
O descarte de Informação Confidencial armazenada em meio físico deve ser efetuado utilizandopreferencialmentemáquinafragmentadora/trituradoradepapéis ou incineradora.

Mesa Limpa

Nenhuma Informação Confidencial deve ser deixada à vista nos locais de trabalho dos Colaboradores. Ademais, ao usar uma impressora coletiva, o documento impresso deve ser imediatamente recolhido.

Gestão Acessos

Os serviços de rede, internet e correio eletrônico disponíveis na Garza são de sua propriedade exclusiva, sendo permitido o uso moderado para fins particulares, mediante autorização prévia do Diretor de Compliance.

A Garza poderá, a qualquer momento, mediante prévia aprovação do Diretor de Compliance, e sem obrigação de cientificação prévia:

Versão: JAN 2023 9

inspecionar conteúdo e registrar o tipo de uso dos e-mails feitos pelos usuários;
disponibilizar esses recursos a terceiros, caso entenda necessário;
solicitar aos usuários justificativas pelo uso efetuado.
O Diretor de Compliance pode definir bloqueio a sites caso necessário. O monitoramento pode ser feito sem necessidade de prévia ciência dos Colaboradores.
Os equipamentos, ferramentas e sistemas concedidos aos Colaboradores devem ser configurados com os controles necessários para cumprir os requerimentos de segurança aplicáveis à Garza.
Apenas os Colaboradores devidamente autorizados terão acesso às dependências e sistemas a que estiverem liberados, bem como aos arquivos, diretórios e/ou pastas na rede da Garza, mediante segregação física e lógica.

Gestão de Riscos, Tratamento de Incidentes de Segurança da Informação e Backups

Os riscos e incidentes de segurança da informação devem ser reportados ao Diretor de Compliance, que adotará as medidas cabíveis.

No caso de vazamento de informação, ou acesso indevido a informação, o Diretor de Compliance deverá ser imediatamente comunicado, para a tomada das medidas cabíveis.

Política de Segregação de Atividades

O bom uso de instalações, equipamentos e informações comuns é obrigatório para todos os funcionários.

As áreas de negócios possuem controle de acesso para garantir segurança e segregação física da área responsável pela consultoria de valores mobiliários, e, de demais áreas (OU empresas do grupo) que exerçam – ou que venham a exercer – negócios ou atividades que possam ser considerados conflituosos.

Em atendimento ao art. 21 da Resolução CVM n° 19 caso a Consultoria venha um dia exercer outras atividades, o farão adotando procedimentos relativos: (i) à segregação das atividades, com o objetivo de demonstrar a total separação entre a área responsável pela atividade de consultoria e as das demais atividades exercidas; (ii) confidencialidade, definindo as regras de sigilo e conduta adotadas, com detalhamento das exigências cabíveis, no mínimo, para os seus sócios, administradores, colaboradores e empregados.

Nos casos aplicáveis, a segregação física, funcional e virtual é monitorada pela área de Compliance mediante a verificação periódica da lista de pessoas com acesso às áreas segregadas, diretórios, etc.

As estações de trabalho, incluindo as autônomas e os equipamentos portáteis, devem ter, sem exceção, senha de inicialização tendo seu acesso bloqueado após minutos de inatividade, liberado apenas com senha do usuário da própria estação.

Todas as boas práticas aplicáveis a Segurança de Informação devem ser observadas,

Versão: JAN 2023 10

garantindo a confidencialidade de Informação de clientes, da empresa, de parceiros de negócios, fornecedores, colaboradores, sócios, etc.

Como regra geral, os Colaboradores detentores de Informações Confidenciais, em função de seu cargo ou função, devem estabelecer barreiras de acesso a dados e informações pelos demais colaboradores cujo acesso seja dispensável.

Essas barreiras servem para atender diversos propósitos, incluindo a conformidade com leis e regulamentos que governam o tratamento e a utilização de certos tipos de informações, evitar situações que possam suscitar um potencial conflito de interesses e coibir má utilização de dados e/ou informações.

Esta norma é parte integrante das normas que guiam as relações entre a Garza e seus colaboradores, os quais, ao assinar o termo específico do Código de Ética, concordam absolutamente com as suas diretrizes nela fixadas. A desobediência a qualquer uma das normas aqui expostas é tida como infração contratual, sujeita o seu autor às sanções cabíveis.

Anexo I Orientações Gerais sobre Temas Técnicos Recomendáveis para Monitoramento

A Área de Compliance deve estruturar registro e controle ativo, ao longo do ano, que podem ser objeto de análise em Comitê destinado a temas de compliance e controles internos, sobre as seguintes matérias relacionadas abaixo.

Tais temas devem – ao longo do ano – ser endereçados e monitorados pela área de Compliance e pelo Comitê, e, quando necessário, ser objeto de acompanhamento próximo da alta gestão (sócios e Diretores) da Garza.

Tal controle deve ser feito em planilhas específicas, servindo como ferramenta de compliance e controle de risco operacional.

Deve constar em planilha de controle o registro de – ao menos – os seguintes eventos ocorridos ao longo do ano:

erros operacionais atinentes a operações sugeridas/recomendadas, e relatórios;
falhas em controles de recebimento de serviços de consultoria;
desenquadramentos de suitability sem as devidas providências prescritas em política;
qualquer outro descumprimento de norma legal constatado;
falhas operacionais relativas à infraestrutura tecnológica e plano de correção

implementado;
falhas de fornecedores;
falhas relativas a quaisquer políticas internas ou normas legais e plano de correção implementado;
ofícios ou qualquer outro alerta e comunicação recebidos de reguladores, ou processos administrativos junto à CVM e demais reguladores aplicáveis, ou em alçadas do poder judiciário;
descumprimento de obrigações relativas à certificação de profissionais, quando necessária;
descumprimento de contratos quaisquer;
quebra de dever de sigilo contratual;
quaisquer eventos adicionais considerados relevantes pelo compliance e que tenham colocado em risco a empresa, seus colaboradores, clientes, ou as boas práticas de mercado.