附件99.1

意大利联合银行控股公司CNPJ公开持有的35300010230年度公众访问报告市场风险管理和控制政策目标建立ItaúUnibanco Holding S.A.(ItaúUnibanco Holding S.A.)市场风险管理和控制框架 遵循适用的法规和最佳市场实践。目标受众本政策适用于企业集团的所有员工和活动，这些员工和活动会导致市场风险，影响ItaúUnibanco Holding及其 子公司。市场风险控制涵盖属于巴西ItaúUnibanco和国际单位的金融和非金融公司投资组合的所有头寸。它不适用于由银行和/或信托管理公司管理的客户投资组合的市场风险(例如财富管理和服务)。简介市场风险是机构持有的头寸因市场价格波动而产生损失的可能性，包括受汇率、利率、股票价格、价格指数和商品价格波动影响的交易风险。市场风险取决于资产价格在面对市场状况时的行为。除了买卖证券的国库职能外，其他职能可能会影响银行承担的市场风险。例如，采购部门在购买外币时，甚至是营销部门，当承诺赞助例如巴西足球队时。市场风险控制主要基于以下指标：风险价值(VaR)：一种统计指标，量化了正常市场条件下预期的最大潜在财务损失 ，并考虑了一定的时间范围和可信区间。例如，某一天的VaR可能是5000雷亚尔, 000.00考虑到99%的可信区间。这意味着银行有99%的信心，当天的损失不会超过这个数字。*按市值计价(MTM/定价)：按市值计价或为证券定价意味着使用最佳 可用价值更新组成银行投资组合的交易金额。除其他指标外，这些指标用于为部门设置阈值和触发警报。指导方针

市场风险控制流程应严格遵循本政策规定的原则。这些原则反映在以下准则中，根据该准则，ItaúUnibanco的市场风险管理和控制框架应：确保使用综合数据库，反映基于正式批准的产品开展的业务，确保从登记到记录在账簿上的信息和计算正确；应用反映最佳市场实践的模型；确保投资组合定价最好基于通过综合外部来源收集的金融市场观察到的报价。当没有可用的价格时，应通过代表持仓的公平估值的定价模型进行计算。在这种情况下，这些评估应是一致和可核实的，并应定期审查评估中使用的市场基准和数据。计算以下各项的结果按市值计价投资组合头寸 遵循银行的模式治理。它们具有独立于业务领域的风险控制职能，负责定义和应用定价参数。建立并确保为衡量、监测和控制市场风险敞口而采用的流程和系统：与交易的性质、产品的复杂性和机构对市场风险敞口的大小相适应； 包含市场风险的所有来源，并及时为业务单位、机构执行董事会和董事会生成风险敞口报告；关键角色和责任ItaúUnibanco的市场风险控制框架涉及以下各方，他们在这一问题上的作用如下所述。董事会：定义机构的风险偏好，并每年对其进行审查。高市场和流动性风险委员会：定义与市场风险控制相关的权威级别，并每年进行审查。通过作出必要的决定和遵循风险偏好来监测市场风险指标。首席风险官：ItaúUnibanco负责市场风险管理。市场风险控制：识别、测量、控制、监测和报告业务领域的市场风险敞口，并向高级委员会报告；

-监测暴露与批准的限制、警报和其他市场风险控制措施的符合性，通知可能不符合相关权限级别的情况，并要求制定符合该标准的行动计划；-维护专门的和拥有足够规模的团队，以支持其治理和开发管理下的市场风险流程和系统。计算职位的管理结果，并将其披露给能够监测和支持决策的职能部门。财务处：预计员工至少应充分了解其管理的投资组合中风险的性质以及对这种风险的有效管理，确保对柜台经理的透明度，并遵守既定的限制。市场风险控制ItaúUnibanco的市场风险控制是通过治理和流程进行的，确保：该机构按照董事会定义的风险偏好运营，并根据限制和警报框架每年进行审查和批准。通过评估预计的资产负债表结果、股本规模、流动性、复杂性和市场波动性以及机构的风险偏好来确定限额的大小。*市场风险职能部门向业务领域和银行高管报告限额的使用情况。警报充当预设的限制指示器。 机构的限制和警报框架由聚合指标组成，这些指标以全局和细粒度的方式监控和限制风险，以避免风险过度集中在单个风险因素中。限制是谈判投资组合的操作部门和银行投资组合的交易部门必须尊重的数字。警报是向机构发出信号的指标，通过明确定义的治理，概述了在激活此警报的情况下应采用的程序。他说：按市值计价头寸的(定价)应基于从外部来源获取的报价 ，如果不可能，则基于根据特定政策中建立的指导方针开发和验证的模型进行计算。*有关价格和交易头寸的信息存储在一个单一的历史和公司数据库中，其控制措施确保其完整性和完整性，并具有允许查阅历史信息的功能。如果使用的模型捕捉到了正确的敏感性，则通过定期对总投资组合和子投资组合(包括所有风险类别)进行合规性测试，来捕捉市场振荡。他们的结果将被分析并用于改进模型和管理机构的风险。此外，还应使用管理结果来验证市场风险计量模型的符合性。

*对极端市场情况下的潜在风险进行衡量，以补充统计风险衡量。通过将压力测试应用于金融和金融资产组合的所有头寸非金融公司。除了投资组合中没有在市场上直接观察到价格的头寸外，这些头寸不具有流动性，或通过内部定价模型进行评估，特别是证券和衍生品，此外，还应进行审慎调整，纠正可能的MTM错误，并遵循相关性和重要性标准。7.相关 巴西中央银行3.354/07号对外规则通函，其中规定了对交易组合中的交易进行分类的最低标准。巴西货币理事会第4557/17号决议，其中规定实施市场风险管理框架。董事会于2022年2月批准。

意大利Unibanco Holding S.A.纳税人编号[CNPJ]60.872.504/0001-23上市公司NIRE 35300010230综合操作风险管理和内部控制政策目标建立与操作风险管理和内部控制相关的指导方针和责任，遵守良好的市场实践和所有适用的标准和法规。目标受众是ItaúUnibanco Holding及其在巴西和海外的子公司的所有员工。机构开展的所有活动都存在引入风险，包括外包服务，因此有必要对此类风险进行管理。所有员工必须根据自己的职能和职责履行风险经理的角色，遵守既定规则，并注意 变化。操作风险是我们面临的所有风险之一。这是本文件讨论的主题，包括用于其管理的内部控制。巴西中央银行将操作风险定义为因外部事故或故障、内部流程、人员或系统的缺陷或不充分而造成损失的可能性。它还包括与机构签署的合同不充分或缺陷相关的法律风险、因不遵守法律规定而受到的制裁，以及因机构开展的活动而对第三方造成的损害赔偿。与适用于金融部门的很大一部分风险不同，操作风险不被视为预期回报的对应物，存在于公司活动的自然过程中。正确的运营风险管理前提是了解组织的现有流程，并根据关键程度(重要性)确定活动、项目、产品或服务的固有风险及其优先顺序, 通过考虑它们对流程或组织目标的影响。一旦确定了风险的优先顺序，就会采取应对措施，即针对每一种已确定的风险采取行动，使其达到可接受的暴露水平。此类行动可包括实施预防性控制，以减少风险物化的可能性，或涉及旨在检测物化的控制措施。可能会有分担风险的决定，将风险部分或全部转移，例如通过签订保险合同。上述风险也可以通过简单地选择停止产生风险的活动来避免，或者以其他方式假定，在这种情况下，决定不对现有活动采取额外的控制措施。准则关于操作风险管理和内部控制的具体准则定义如下。操作风险管理模式为了妥善管理其风险，包括操作风险，ItaúUnibanco使用了三道防线。 操作风险识别

必须在任何时候识别集团活动固有的运营风险：在现有产品和服务中；在新流程、项目或产品的设计中；在内部或外包活动中；以及在产品或服务生命周期中。固有风险是指由于其性质而不能从活动中分离出来的风险。这是，这是来自企业集团不同活动和领域的内在风险，而不是考虑为缓解其风险而实施的控制系统。对罕见和高度严重的操作风险事件的风险敞口，虽然被认为是 可信的，但通过创建情景、提供有关潜在风险的信息、生成损失估计并在必要时考虑多个操作风险同时发生所造成的影响来进行评估。 操作风险优先顺序根据操作风险对执行董事会和/或企业集团目标的影响程度来确定操作风险的优先顺序。为了协助进行适当的影响评估，重要的是要考虑影响的各种可能性及其范围，例如：财务：评估因暴露于操作风险而可能对业务和/或组织造成的财务影响的代表性。根据《萨班斯-奥克斯利法案》(Sox)，对可能导致财务报表重大错误的风险进行分类。形象/声誉：评估国内和国际媒体可能产生的负面影响 (知名度和传播)，以及对品牌的损害及其逆转的可能性。*法律/监管：评估导致监管的可能性不遵守规定，以及可能招致罚款、警告、检查、行政诉讼或吊销营业执照。客户：评估受影响客户的数量、涉及的细分或分销渠道。战略和 业务：评估启动或维护流程、产品和服务的战略中的故障或错误造成的影响。这也可能是由于在识别和应对业务环境、竞争对手、新业务、客户习惯变化等方面采取的行动不及时造成的。对操作风险的响应应对操作风险意味着确定将对已识别的风险采取什么措施。一些可能的行动：* 缓解：制定行动，降低操作风险在过程中出现的可能性，或采取行动减少所产生的影响。风险分担：建立旨在通过转移或在某些情况下分担部分风险来减少风险影响和/或风险发生的可能性的行动。例如，它可能涉及到签订保险合同。避免：采取行动消除风险实现的可能性。它可能涉及 有风险的活动/操作的中断。假设：没有采取任何行动来减少风险发生的影响和/或可能性。在这种情况下，风险承担治理。监测业务风险的暴露水平本组织必须根据既定的容忍水平，通过风险指标监测业务风险的暴露。发现的故障必须通过操作风险发生及时登记，然后由第一道防线处理和定期监控，以及合规性和内部和外部审计的结果。

第二道防线必须验证针对中等和高级别操作风险事件的行动计划的实施情况。操作风险报告任何由防线、监管机构或外部审计确定的高风险发生必须传达给上级委员会、业务部门的高管、首席风险官(CRO)、审计委员会和CGRC，它们是董事会的最后两个合议制机构。国际单位高操作风险事件的报告在每个单位的相关论坛中进行。操作风险管理行动的披露操作风险管理结构的说明可通过董事会正式批准的可公开查阅的报告 获得。此外，操作风险和内部控制的管理结构的说明摘要与财务报表一起发布。为管理国际单位的操作风险而定义的决策、政策和战略向首席风险官(CRO)披露。操作风险损失数据库的管理ItaúUnibanco的所有部门都面临操作风险 事件，因此业务单位(第一道防线)负责识别此类事件和相关损失值，以组成操作损失数据库(OLDB)。影响银行损益表的与操作风险事件有关的费用和拨备必须在OLDB中报告。操作风险资本配置企业集团使用替代标准化方法(ASA)计算和分配操作风险监管资本。此外，还计算和分配了操作风险的经济资本(ICAAP)。参考权益(PR)水平的充分性, 关于企业集团承担的经营风险，必须定期监测。主要角色和职责BD：批准与操作风险和内部控制相关的指导方针、战略和政策，确保清楚地了解企业集团各级的角色和责任 。风险和资本管理委员会：支持董事会履行与公司资本和风险管理相关的职责，就这些主题提交报告和建议，供董事会决定。审计委员会警告：监督内部控制和风险管理过程。

高级运营风险委员会和CSRO：了解ItaúUnibanco流程和业务中的风险，定义管理运营风险的指南，并评估ItaúUnibanco内部控制和合规运营工作的成果。合规和操作风险委员会：监督和促进金融集团的每个执行领域制定和实施CSROS批准和定义的指导方针。用需要更高级别讨论的主要主题补贴CSRO。 讨论业务领域的主要风险和建议的行动计划，以缓解已确定的风险。内部操作风险委员会：讨论与合规、操作风险、内部控制和每个业务部门的承保风险(暴露时)有关的事项。将要求更高权限级别的所有决议转发给合规委员会和操作风险委员会。首席风险官(CRO)：负责机构内的风险管理。操作风险委员会：插入第二道防线，由作为内部控制和风险干事(OCIR)的监督人员代表，并与他们的团队一起负责：支持第一道防线遵守其直接责任。开发和提供必要的方法、工具、系统、基础设施和治理，以支持对相关集团和外包活动中的运营风险和内部控制进行综合管理。-协调操作风险和内部控制活动与业务和支持领域，独立行使其职能，并与任何管理人员或员工直接沟通, 以及在其职责范围内获取任何必要的信息。因此，禁止该部门管理任何可能损害其独立性的 业务。在相关论坛上沟通高危事件。业务/支持领域：v主要负责识别、确定优先级、应对风险、监控和报告可能影响先前定义的战略和运营目标的实现的运营风险事件。内部审计：独立并定期检查识别和管理风险的流程和程序的充分性。术语控制环境：代表企业集团用来管理其复杂性、多样性、频率和业务量所固有的运营风险的一套政策、流程、程序、人员和系统。经营风险发生：是企业集团中发现的经营失败/缺口的记录。外包活动：由受雇从事签约方任何活动的专业公司提供服务。

原因：导致(或可能导致)操作风险成为现实的原因。它代表问题的根源，可以是组织的、行为的、系统的、程序的或外部的。操作风险事件可以有一个或多个相关原因。控制：为将可能影响组织目标的风险暴露降低到可接受水平而开展的活动。控制活动由本组织各级的业务/支助部门进行，这些活动可以是探测性的或预防性的，包括人工或自动活动。检测控制：为检测操作风险的具体化而进行的控制，使其能够减少其影响。它本质上是反应性的。预防性控制：为降低操作风险发生的可能性或防止操作风险发生而进行的控制。具有主动性。 操作风险事件：操作风险物化。这些情况在实现时会在业务流程或支持中造成实际后果，并且与预期结果不同，可能会产生直接影响(例如，财务损失)或间接影响(例如，机会成本和声誉/形象损害)。出于分类目的，ItaúUnibanco使用了巴塞尔委员会和巴西中央银行采用的相同定义。风险敞口：表示与企业集团活动相关的意外运营亏损敞口的财务 交易量。故障：由于系统不完善、管理不善、控制不力、人为错误或内部/外部欺诈而导致或不会造成经济损失的风险已经实现的情况。ICAAP：内部资本充足性评估流程影响(后果)：直接成本、赔偿、法律费用、法律罚款、上诉败诉造成的运营风险损失金额, 和资产减值。风险具体化：风险被认为是有原因的，如果它发生了，就会有后果或后果。固有风险：由于业务、区域、产品、流程、项目或新的或现有系统的类型或性质而存在的风险，无论实施的控制结构或其他缓解因素如何，都会面临风险。是指实施控制之前的原始风险或风险。 剩余风险：在考虑现有控制措施和缓解措施后仍暴露的固有风险的一部分。相关外部规则CMN解析4.557/17--规定了风险管理结构和资本管理结构。CVM指令558/15规定了证券投资组合管理的专业工作苏塞普通告521/15规定了技术条款；负债充分性测试； 减少资产；承保、信贷、运营和市场风险资本；运营损失数据库的构成等。《萨班斯-奥克斯利法案》确立了与披露和发布财务报告相关的公司治理规则。董事会于2021年8月批准。

Ita？Unibanco Holding S.A.纳税人#CNPJ]07.540.097/0001-74公司注册处中的公共持有的公司识别码 [无]35300010230公共获取报告-合规政策目标确立与合规角色相关的指导方针和主要任务，遵守良好的市场实践和适用的法规。引入合规角色 旨在防止和减轻ItaúUnibanco在治理、合规认证、行为和透明度方面的不遵守内部和外部标准的情况(合规风险)。 合规风险是由于不遵守法律和监管规定、市场标准、当地和国际承诺(通过自我监管、技术标准、行为准则或内部政策)而产生的法律或监管制裁、财务损失或声誉损害的风险。ItaúUnibanco采取了三道防线的战略，以实施其风险管理结构(包括合规)，并确保遵守本政策中规定的指导方针，明确划分角色和责任。1.第一道防线是业务和支撑区。其员工负责风险管理和遵守与其活动相关的标准，并负责实施控制措施和实施纠正措施，以妥善处理风险。2.第二道防线是风险控制职能，这些职能与内部审计和法律审计的活动完全分开，在行使其职能时具有独立性。它与管理人员直接沟通，包括董事会和审计委员会的成员，以及与任何员工。他们可以获得其职责所要求的任何信息。这在巴西和国外都是被禁止的, 对于构成第二道防线的区域，任何可能损害其独立性或产生利益冲突的业务或流程的管理 。出于同样的原因，它的目标和薪酬不能与业务领域的业绩相关。3.第三道防线是内部审计，它通过审计技术对该机构的活动进行独立评估。它允许管理层评估控制措施的充分性、风险管理的有效性、会计报表的可靠性以及对标准和法规的遵守情况。合规职能合规风险管理指南应针对现有或新的流程、产品和服务，包括相关的外包服务。此类流程、产品和服务必须 定期测试和评估是否符合适用标准、与监管机构作出的承诺以及与道德准则相关的要求(如果适用于内部标准)。

合规职能由运营风险和合规执行董事会履行，向财务和风险部门报告，并独立于集团的其他支持和业务领域行事。在国际单位，有负责控制操作风险和合规风险的地方独立机构，由当地CRO负责，他们向执行委员会报告操作风险和合规情况。必须对执行部门、内部和外部审计、监管机构和其他监督和监督实体提出的说明采取后续行动，以便主管部门保证其有效待遇。合规风险报告应清晰、客观和及时，并应向高级委员会、业务单位高管、风险副总裁、风险和资本管理委员会、审计委员会和董事会报告，以便对既定的风险暴露水平和框架限度进行监测。在国际单位中，合规风险报告应报告给每个单位的相关论坛和环境保护办公室主任。为了促进适当的风险管理，ItaúUnibanco的风险管理方法包括5个步骤：识别、确定优先顺序、风险应对、监测和报告。ItaúUnibanco所有领域共有的主要角色和任务：开展ItaúUnibanco提供的诚信、道德和风险管理培训。A每年签署《企业诚信政策表》，确认对本政策所确立内容的了解和同意。=定义, 执行并遵守遵守法规的政策和程序。考虑到企业集团的内部政策规定的条款。报告违反本政策规定的事实或怀疑。管理委员会管理委员会负责：批准：a)合规指导方针、战略和政策，以确保清楚地了解企业集团各级的角色和责任；以及b)操作风险和合规执行董事会在机构组织结构中的地位，以避免可能的利益冲突，主要是与业务领域的冲突。为适当开展与合规职能有关的活动提供必要的手段，包括提供足够数量的资源用于人员分配，并提供必要的经验和培训。至少每年与操作风险和合规执行委员会举行会议，作为综合操作风险管理、内部控制和合规有效性评估的一部分。确保：a) 适当管理本政策；b)本政策实施的有效性和连续性；c)向所有相关员工和第三方服务提供商宣传本政策；d)披露诚信和道德行为标准作为机构文化的一部分；以及e)对已发现的合规失误采取纠正措施董事会将根据定期会议和执行董事会编写的运营风险和合规性年度报告以及审计委员会的年度评估对这些项目进行评估。审计委员会：审计委员会必须：

-在将合规性政策提交董事会批准之前，对其进行验证。至少每年就以下方面对合规结构进行评估：a)明确界定合规职能的任务、角色和责任，避免可能的利益冲突，主要是与机构的业务领域；b)在适当的层级定位，独立并分离业务和业务领域，适当行使界定范围、执行工作和传达其结果的任务；C)组织结构 与企业集团的需要和人员配置保持一致，并有足够的培训和经验来开展与其各自职能相关的活动；d)合规管理的有效性；以及e)该结构与适用的调整相一致。验证以下方面的表现：a)向所有相关员工和第三方服务提供商传达本政策；b)披露诚信和道德行为标准，作为机构文化的一部分；以及c)针对已发现的合规故障采取纠正措施。第一道防线：告知员工和第三方服务提供商与合规相关的问题并赋予其权力；与监管、自律、监督和监督机构有关，考虑到他们的要求，并向他们发布应提交的报告。确定、衡量、评估和管理可能影响集团战略和运营目标实现的合规风险事件；保持有效的控制环境，与所开展业务的性质、规模、复杂性、结构、风险状况和业务模式保持一致，以确保有效管理合规风险, 将风险敞口保持在可接受的水平，为集团建立风险偏好；确定并实施行动计划，以应对由内部和外部审计、内部控制、合规、监管机构、自律和其他监督和监管机构作出的不合规注意事项；当发现与现有标准和法规有关的变化或控制活动未预见到的合规风险时，及时向合规部门报告；以及保持遵守当地和国际监管标准和 要求。第二道防线风险和金融领域计算、监测和控制监管机构为确保ItaúUnibanco遵守监管规定而设立的运营限额，即使在没有定期向监管机构提交的义务的情况下也是如此。操作风险和合规执行委员会通过公司合规和内部控制及操作风险委员会：支持遵守其直接责任的第一道防线，是操作风险和合规执行委员会的责任。？披露作为企业集团风险文化和控制的一部分的诚信和道德标准，并传播与合规职能相关的最佳实践和政策；指导和建议企业集团的经理和员工，指导关于遵守与诚信和道德计划相关的内部标准的具体解决方案；指导和建议企业集团的经理和员工，指导与遵守外部标准相关的具体解决方案；

-评估遵守法规和与监管机构作出的承诺的激励措施，并将这些结果报告给薪酬委员会和审计委员会；确保负责执行合规职能的团队拥有适当的权力，并通过结构化培训计划确保他们在资源和知识方面都是充足的；-根据合规主题的严重性对合规主题进行分类，并监测企业集团暴露在这些风险中的情况；-通过监测和测试计划来认证第一道防线合规控制环境的有效性， 应要求向高级行政和监管机构报告结果；审查和监测为处理内部和外部审计和监管机构所作说明而通过的行动计划；向董事会、审计委员会、风险和资本管理委员会和董事会报告符合以下条件的相关情况不合规；监督国际单位对遵守公司准则的情况进行评估，以及采用合规方法并向汇总表提交综合监测和报告；协调国际单位企业诚信和道德计划的实施、监测和发展；以及协调与企业集团相关的国际法规合规计划的治理。公司合规委员会完全负责：维护管理委员会批准本文件的证据；界定传播合规文化的原则和准则，包括培训；制定和提供必要的方法、工具、系统、基础设施和治理，以支持相关企业集团和外包活动的合规；管理捕获、筛选、影响评估和合规监测的过程；根据适用法规和市场最佳做法协调ItaúUnibanco政策和程序的治理；-监督ItaúUnibanco Holding S.A.的个人投资政策和证券交易政策；及时报告相关信息，包括发现材料故障的合规评估结果和监管环境的重大变化；向审计委员会和董事会发送年度报告，其中包含与合规问题有关的活动结果摘要、主要结论、建议和为处理已发现的缺陷而通过的行动计划；管理交易监督和诚信计划；协调与监管机构、自律机构和其他检查实体和监督人员的关系, 监测所作承诺所产生的行动，促进信息共享，并确保机构定位的一致性。第三道防线根据内部文件中规定的指导方针，独立和定期核实识别和管理风险的流程和程序的充分性，包括操作风险、内部控制和合规性的综合管理，并将其说明的结果提交审计 委员会。董事会于2020年4月30日批准。

ItaúUnibanco Holding S.A.CNPJ 60.872.504/0001-23公开持有的NIRE 35300010230公共访问报告-流动性风险管理和控制政策目标建立ItaúUnibanco Holding SA(ItaúUnibanco)的流动性风险管理和控制结构，遵守适用的法规和最佳市场实践。目标受众本政策适用于ItaúUnibanco在巴西和国外控制的所有金融公司。这项政策也适用于该集团所有导致流动性风险的活动，对ItaúUnibanco Holding 及其子公司产生影响。本政策不适用于由银行和/或托管机构管理的客户投资组合的流动性风险(例如来自财富管理和服务-WMS的资金)。介绍流动性风险的定义是机构可能无法有效和及时地履行其义务。当现金流(资产和负债)不匹配，影响其运营或产生重大损失时，可能会发生流动性风险 。例如：客户A存入100.00雷亚尔。客户B申请100.00雷亚尔的贷款，为期一年。此时，银行将客户A存入的金额转给客户B。几天后，客户A请求提取存款金额。如果银行没有这笔金额，它将无法兑现承诺。, 暴露出流动性问题。如果银行被迫出售任何资产以产生现金并履行其对客户A的承诺，可能会发生重大损失。流动性风险控制由独立于业务部门的部门执行。目标是比较资产(通常是流动性最强的资产)和财政债务(通常期限较短)，并确保有足够的现金来偿还债务。流动性风险根据董事会和上级委员会制定的限额框架进行控制。准则流动性风险管理和控制流程必须严格遵守本政策中规定的原则。

对流动性风险的衡量必须涵盖ItaúUnibanco公司的所有财务业务，以及可能的或有风险(风险情况下没有预期发生的日期)或意外风险(现金流入或流出的变化)。这些情况通常是由以下原因引起的：a结算服务(例如：税收大幅减少， 银行单据或银行转账结算)；v提供担保和背书(例如：客户对以下项目执行担保和/或担保未支付贷款)；已签订合同和 未使用的信贷额度。(例如：更多地使用透支或信用卡限额)；实现影响技术规定的不利事件(事件发生、养老金计划的赎回或可携带性、赎回或纳入资本化提款)控制流动性风险的主要措施应是衡量流动资产，其构成包括：国家现金(联邦政府债券、现金、BACEN存款，任何可以立即交易并转换为现金而不会造成重大价值损失的资产)；-境外现金(可立即在境外交易并转换为现金而不造成重大价值损失的资产，例如现金、其他银行的现金)以及所有可立即兑换(D0)为支付手段的资产。流动性风险控制包括应急和流动性恢复计划，以明确定义在不同压力情况下恢复流动性的行动。主要角色和职责ItaúUnibanco的流动性风险控制结构涉及以下各方，我们强调他们在此事中的作用。董事会定义了机构的风险偏好，并每年对其进行审查。高级市场和流动性风险委员会：界定与流动性风险控制相关的权力，并每年进行审查。A监测流动性风险指标，采取必要的决定，尊重已定义的风险偏好 。至少每年提交流动资金应急计划供董事会批准(巴西)；流动资金风险控制；根据高级管理层制定的指导方针确定储备金的构成；流动资金风险控制；确定、评估、监测、控制和报告每日面临的流动资金风险。提出流动性风险限额；

-监测应急和恢复计划，以及为每个计划设定的限制，并报告任何不符合审批主管部门要求的。在压力条件下进行流动性风险模拟。定期向合办机构、财务处、综合资本管理总监、CRO和董事会报告巴西和外部单位的主要流动性风险控制情况，以及流动性突然减少的情况和正在采取的措施的相关方面；向管理层风险偏好以及应急和回收触发因素通报任何不遵守规定的情况。还向综合资本管理总监通报每日LCR(流动性覆盖率)指标 的水平，以确保支持监测恢复计划；16关于风险偏好指标，监测、分析和报告构成风险偏好报告的信息，并将相关方面(如委员会决定、行动计划请求和注意事项通知)传达给有关方面。A维持专业和适当规模的团队，以支持其治理和发展管理下的流动性风险流程和系统 。机构金库(巴西和国际)-集中管理ItaúUnibanco的流动性风险，确保充足和足够的流动性水平；CAAF(金融资产管理委员会)： -集中管理由Susep监管的自营投资组合和工具的流动性。储备试点(见词汇)：负责为白天开展的业务确定、评估、监测和提醒现金需求；信息 技术：负责维持专业和适当规模的团队，以支持在技术开发治理和管理下的流动性风险流程和系统, 对于具体服务拨备协议中定义的托管流程，流动性风险控制除了应急计划和流动性回收外，ItaúUnibanco的流动性风险控制还包括衡量、监测、控制和报告风险敞口水平。对流动性风险敞口的衡量是基于对现金流演变和遵守监管指数的日常分析，如下所述：a预计现金流(业务连续性 情景)：展示现金流预期，考虑正常条件下的业务连续性；v投资组合结算情景(径流)：展示预期现金流，考虑当前投资组合的结算和业务的中断。

-投资组合结算情景(强调)展示了受Susep监管的公司在不利的特殊情景下的现金流。 假设短期流动性覆盖率(LCR)：根据巴西央行定义的前提，证明审慎企业集团的优质流动资产足以承受30天的严重流动性危机；以及净稳定融资比率(NSFR)：表明审慎企业集团拥有高于现金流出要求的可用稳定资源。一年压力 情景。资金提供者的集中度：表明这家审慎的企业集团对流动性提供者交易对手的敞口多样化。流动性风险限额的使用必须与批准的限额进行核实。 流动性风险控制部门必须向高级管理层、立即重新分类风险敞口的相关部门和相关委员会报告不符合既定限额和指标的情况。应急和恢复计划旨在恢复充足的流动性水平，并保持ItaúUnibanco的生存能力，以应对压力情况。计划必须包含要实施的行动列表，包括数量、截止日期和责任人。应急计划的行动必须考虑按危急程度分级。行动的顺序应根据实施的难易程度来确定，同时考虑到市场的特点。词汇准备金试点：负责持续计算银行准备金余额并监控金融机构所有借方和/或贷方分录的结构。资金提供者：通过活期存款、定期存款、金融票据等各种产品向机构投资资金的交易对手 。储备：根据单位所在市场和监管机构的考虑，可以立即转换为现金的总资产。流出：资产和负债到期且不再续期的情况。董事会于2022年5月3日批准。

意大利联合银行控股公司CNPJ35300010230公共访问报告遵循信用风险管理和控制政策目标建立ItaúUnibanco Holding S.A.的治理和信用风险控制 遵守适用的法规。目标受众ItaúUnibanco Holding S.A.(ItaúUnibanco)在巴西和国外控制的金融机构招致信贷风险，涵盖所有细分市场(个人和法人)。根据该机构的公司风险词典，信用风险被理解为以下原因造成的损失的风险：借款人、发行人或交易对手不遵守商定条款下各自的财务义务，信贷协议因借款人、发行人或交易对手的评级恶化而导致的贬值，收益或薪酬的减少，在随后的重新谈判中获得的优势，以及信贷恢复成本。信用风险控制流程必须支持机构，严格遵守内部政策中定义的原则。信用风险的集中控制由风险管理部(A.R.)独立执行，独立于业务单位和执行内部审计活动的区域。在国际单位，负责监测控制和风险的独立结构由当地CRO(首席风险官)负责。, 世卫组织必须每月向A.R.Risk董事董事会报告，每季度向ItaúUnibanco的CRO报告。国际单位各CRO的作用和责任在内部程序中有明确规定。这种结构使信用风险的持续和综合管理成为可能。它必须考虑在交易组合中分类的操作和在非交易组合中分类的操作。必须整合指导方针风险管理，从而能够识别、测量、评估、监控、报告、控制和缓解信用风险。信用风险管理结构必须与风险暴露维度和相关性成正比，与业务模式、交易操作的性质以及ItaúUnibanco产品、服务、活动和流程的复杂性兼容。因此，必须维护专门且规模适当的团队，以支持其 治理下的信用风险流程和系统。信用风险管理结构必须规定：--明确记录的风险管理政策和战略，以确定在风险偏好声明之后维持风险敞口的限度和程序。它还应 考虑到以下固有信用风险的事先识别：新产品和服务；现有产品或服务的相关修改；机构流程、系统、运营和商业模式的重大变化；保护战略(对冲)和风险承担计划；重大公司重组；以及

--宏观经济情景发生变化。V监控流程以确定 中的点不遵守信用风险管理政策，包括各自的理由和为解决任何分歧而预期采取的行动；f信用风险管理的制度、程序和程序，包括其最新情况；v提交董事会、委员会和其他论坛的定期管理报告，在这些报告中，信用风险的主题已列入议程。上述准则必须适用于信贷、交易对手、国家、 付款事件的风险，以履行背书、担保、共同义务、信贷承诺或其他类似性质的业务，以及与不遵守涉及双边流动的结算交易(包括金融资产或衍生品交易)有关的义务而造成的损失。主要角色和职责信用风险控制必须：明确集中的信用风险监测和控制环境；定期审查政策、战略和程序，以建立运营限额、风险缓解机制和程序，旨在将信用风险敞口维持在管理层可接受的水平，并在主管审批机构级别批准；以及向国际单位的业务单位和CRO披露信用决定、公司政策和信用风险管理战略。信用风险 按照模型风险政策中规定的任务，建模必须有助于信用风险控制活动的执行。财务定义根据适用的标准和法规执行模拟和计算的规则，此外还发布财务报表和其他报告，以帮助和补充信用风险管理和控制。风险管理部委员会成员负责根据每个论坛的特殊性进行决策, 努力降低风险，将信用风险敞口维持在管理层可接受的水平。业务单位(巴西和国际单位)确保了解其运营中发生的信用风险，并遵守既定的规则和限制。此外，业务区应维护程序手册，详细说明其责任范围内的过程和控制的责任和分配。信用风险控制经济集团ItaúUnibanco Holding的信用风险管理流程致力于经济集团的组建和变更， 将发放或管理信贷的所有商业部门作为目标受众，其中包括国际单位，但ItaúCorpBanca除外。交易对手信用风险它是指某一交易对手对涉及具有双边风险的金融资产交易的业务进行结算的义务不遵守的风险。它涵盖衍生金融工具、待结算交易、资产贷款、回购协议、 和双边能源合同。衡量交易对手信用风险涉及通过特定模型将其转换为等值的信用风险敞口。潜在信用风险(PCR)计量模型用于衡量交易对手信用风险下的等值信用敞口。中国的发展和

这些模型的批准遵循特定程序中描述的治理。市场风险模型开发程序 将某些产品和业务的交易对手信用风险衡量定义为与PCR模型相关的优先事项，并有一个目的：在衡量信用风险时考虑是否存在缓解工具，只要这些工具未在市场风险模型中明确考虑；定义对存在重大风险的特定产品和业务的交易对手信用风险的衡量；以及定义未开发特定模型的特定产品和业务的风险衡量。国家风险ItaúUnibanco与世界各地的借款人、发行商、交易对手和担保人保持着关系， 无论这些地点是否有外部单位。因此，国家风险是机构中存在的一种风险。这类风险在公司风险词典中定义为因下列原因而产生的损失风险借款人、发行人、对手方或担保人因借款人、发行人、对手方或担保人所在国家的政府采取的行动或与该国有关的政治、经济和社会事件而在商定的条款内不履行金融义务；细分为：主权风险，定义为中央政府(财政部和中央银行)无法产生资源来履行其承诺的风险；转移风险，定义为由于宏观经济事件或资源所在地中央政府采取的行动导致兑换汇率出现障碍，导致借款人、发行人、对手方或担保人无法履行其外币承诺，因此无法使用ItaúUnibanco法律工具将在国外的司法管辖区持有的资产全部或部分转移到该国司法管辖区的风险。ItaúUnibanco有一个管理和控制国家风险的具体结构，由大学机构和专职团队组成，所有这些机构都有正式规定的责任。为了始终如一地评估每个国家固有的风险，ItaúUnibanco通过同时考虑主权风险和转移风险来确定国家的评级。当地主权评级反映了主权发行人(财政部和中央银行)对其以当地货币结算的债务的支付能力。外部主权评级 反映一个国家产生外汇(外币)的能力，因此，它是用来评估主权发行人(财政部和中央银行)履行其以外币结算的义务的能力的评级 , 以及评估转移风险。无法产生外汇可能导致两种后果：(1)主权发行人的外币债务违约和/或(2)实行资本管制，阻止私人资源在司法管辖区之间转移(限制将本国货币兑换成外币)。ItaúUnibanco根据评级和交易条款设定限制，旨在控制该国的风险敞口。这样的限制是定期审查的，根据新的重要事实，可能会进行特别修订。信贷组合监测投资组合监测被理解为对与信贷操作有关的指标的跟踪。一般而言，监测指标包括活跃投资组合的余额、当月的信贷优惠(也称为收获)、违约指标(涉及投资组合或收获余额的拖欠余额)和质量。资产组合监控的目的是验证信贷业务的财务健康状况，调整信贷策略以适应企业集团的风险偏好。关于全球政策的最高 和最低水平发现的任何偏差报告如下：巴西的集中监测定期向信用风险政策委员会(CPRC)报告。零售部门收获和投资组合的综合指标每月向零售信贷和收款委员会(CSCCV)报告，批发部门每季度向批发信贷和收款委员会(CSCCA)报告。在国际单位，监测报告给国际单位风险委员会(CRUI-L)，各单位的CRO参加，并向国际单位风险委员会(CRUI-G)报告。

投资组合和信贷流程审查审查应包括分析每个业务部门的信贷流程质量和诚信， 涵盖从充分遵守信贷政策开始的一切内容，评估特许权的质量，评估客户的支付能力，所分配评级的充分性，以及最后，特许权后阶段(例如，分析 担保、契诺等)。由评审员组成的独立团队必须进行这项分析。结果报告给接受审查的业务单位的高级信用和风险管理(信贷官)风险管理部(信用风险官或CRO)。对信用策略和政策的评估确立了与确定和批准影响信用风险敞口的信用政策和业务规则的变更相关的责任和一般规则。对于自营投资组合，这些保单涉及信贷发放和维护，以及在市场上收购具有信用风险的工具。对于第三方投资组合，这些政策针对的是 在有信用风险的资产中进行酌情决策的规则。信贷政策的改变是任何影响所承担的风险或可能影响信贷额度和已分配经济资本消耗的行动。信用政策可分为三种类型：信用授予和维护政策：信用模型、分段、收入/收入等的修改和更改；信用审批机构(组成和价值)的变化；因年度风险而产生的影响 重新细分；改变截止点；改变信贷决策的新细分(中断)。风险衡量政策：担保缓解；定义或更改潜在信用风险(PCR)模型的应用标准；定义或更改计算资本和限制消费的参数。全球信用政策：反映银行信用风险的一套指标和变量的最高或最低水平，所有零售和批发政策都必须考虑这一点。集中风险集中风险是指具有信用风险的业务以直接或相关方式过度集中在客户、部门、地理区域或缓解工具中而导致财务损失的风险。为了确保较低的结果波动性，从银行内部不同的角度进行集中风险管理，以观察该机构不会显著暴露于单一风险来源。通过这种方式，集中度风险从以下角度进行监控：个人、前10名、按国家、经济部门和机构活动进行监控。 董事会和执行局每月监控这些指标，并负责调整和批准指标及其限制。根据每个维度变量定义极限。为了定义单个企业集团和前10大企业集团的浓度限制，我们根据4.677号决议规定的最高限制，评估企业集团的内在信用风险。对于国家集中度，风险分散是基于每个国家提出的信用风险和银行战略。至于按部门划分的集中度，则按银行策略及其经营业绩波动性而定，而按行业划分则按行业划分。, 根据基于行业的信贷组合风险概况、其盈利能力和行业在经济中的相关性来定义限制。在《风险偏好手册》中可以找到为每个指标定义的限制和计算方法的更多细节。收入 确定收入的类型以及如何为个人定义收入。在获取任何客户收入信息(如已证实的、已证明的收入、支付能力或根据 例外情况批准的其他收入信息)并将其用于为个人授予信贷、维护或任何其他收入目的时，如果是季节性的，则必须遵循内部程序中提到的关于文档类型、其有效性和例外情况的指导。收入决定了法人的收入类型和获得收入的途径。在捕获任何客户收入信息(如证据、证书、支付能力或例外中的其他批准信息)并将其用于授信维护或任何其他目的时，必须遵循内部程序中的指导，遵守各自的程序、文件类型、其有效性和任何例外情况。

收入承诺收入承诺(C.R.)是指债务除以个人客户的总收入。它用于通过个人零售的信用政策和业务规则授予和维护客户，以评估客户风险，同时考虑客户当前的负债情况以及所请求的信用对该债务的影响。CRR的具体用法在每个产品政策中都有说明。内部程序中介绍了计算CRR的规则和重新计算此信息的指南。担保担保是以减少有信用风险的业务中的损失发生为目的的工具，包括但不区分财务担保、真实担保、补偿和债务清偿协议、个人和信托担保以及信用衍生品。为使这些担保被视为降低风险的工具，它们必须符合规范它们的标准的要求和确定。收款政策和策略的评估收款策略是指追回和重新谈判拖欠的信贷操作。为了评估收集策略，需要监视投资组合(默认、收获和投资组合), 专注于重新谈判产品。由建模和信用风险管理部实施的监测这些行动旨在减轻业务单位收集策略和操作上的风险。更新和发展拨备的风险参数和资本风险参数是必要的投入，使财务领域为会计和/或管理目的而进行的拨备或资本分配计算合格。参数由参数开发单位(UDP)通过前提和计算进行分配，以确保银行在面对过去、当前和未来情景中的预期和/或意外变化时的偿付能力。每个参数的定义和概念必须在参数开发单元(UDP)和参数用户单元(UUP)之间保持一致。相关的外部规则和巴西国家货币委员会第4557号决议，该决议规定了信用风险管理结构的实施，中央银行标准2.682规定了信贷业务分类的标准和设立结算信贷拨备的规则巴西证券交易委员会第247号指令规定了对关联和子公司的投资进行评估，以及编制和披露合并财务报表的程序。董事会于2021年8月批准。

意大利联合银行控股公司CNPJ公开持有的35300010230年度公众访问报告《资本管理政策目标内部资本充足性评估流程》(ICAAP)BACEN需要一份评估ItaúUnibanco资本充足性的财政年度报告，提供该机构风险和资本管理的全面概述，并根据其风险状况说明其资本水平充足性自我评估结果。资本计划资本计划是ICAAP的一部分，讨论如何进行资本计划，以保持充足和可持续的资本水平，纳入风险偏好以及对经济和监管环境的分析所确定的限制。此外，它的结构与ItaúUnibanco的战略规划一致。本计划提出了短期和中期(在基准日期年之后至少三年)在正常和压力情况下的财务和资本预测，以及其主要资金来源、分配政策结果和 应急计划。资本应急计划ItaúUnibanco有一个资本应急计划，以应对发现至少有一个资本比率低于董事会(Conselho de(Br))规定的资本比率的情况，或可能影响机构资本充足性的不可预见的事件。该计划包括一套应急行动和责任人，使ItaúUnibanco能够提高其资本化水平，并且必须至少包含, 启动其激活的资本限额的定义，以及在不利情况下维持ItaúUnibanco资本化水平的相应治理。压力测试 压力测试是模拟极端经济和市场条件对机构收益和资本的影响的过程。董事会必须批准董事的压力情景，并且在定义ItaúUnibanco的业务和资本战略时必须考虑他们的结果。ItaúUnibanco的压力测试可以分为内部测试和监管测试。第一种是基于该机构自己开发的宏观经济模拟和预测，寻求在假设但看似合理的经济危机情景下衡量该企业集团的脆弱性和实力。监管压力测试具有相同的目标，但使用了央行制定的情景。在这两个过程中，主要的分析是关于银行的损益表(P&L)、其在企业集团投资组合和活动中的分配以及机构的资本水平。此外，为了补充根据上述流程得出的结果，每年都会进行敏感性分析和反向应力测试。资本管理框架应根据机构选择的严重情景定义提供对资本的影响评估，并将其包括在压力测试计划的结果中。资本和风险管理报告-支柱3它包含有关审慎指标和风险管理的信息、会计和审慎信息的比较、资本构成、宏观审慎指标、杠杆率、流动性指标、信用风险、交易对手信用风险、证券化风险敞口、市场风险, 利率变动风险 根据BCB第54号决议，银行投资组合中分类的工具和管理层薪酬按季度在该机构的投资者关系网站上披露。指导方针资本管理必须根据风险管理政策中定义的原则和本政策中定义的原则支持机构。这些原则反映在以下准则中，根据这些准则，ItaúUnibanco的资本管理结构必须：确保清楚地记录资本管理的政策和战略，并建立机制和程序，以保持参考股本(RE)、I级资本和本金资本与该机构所发生的风险相适应。维护资本管理程序。与其业务性质、提供的产品和服务的复杂性以及风险敞口方面相适应。

-确保每年至少 由董事会提交资本管理政策和战略以及资本计划供批准和审查，以确定它们是否符合机构的战略规划和市场条件。为机构的部门、风险和资本管理委员会(CGRC)和董事会生成报告，指出PR、I级和巴西资本本金水平是否足以应对资本管理框架所发生的风险或任何不足之处，以及纠正这些风险的措施。确保在发生破产或破产的情况下满足Susep要求的偿付能力和流动性调整计划由保险业的一家或多家公司提供非流动资金，确保这些公司资产管理涉及的领域被激活，以便确定纠正行动建议，并将其提交影响评估。确定资本管理进程的治理和责任，向受影响地区披露与这一进程有关的决定和政策，并监测ItaúUnibanco和国际单位的监管资本。？业务单位和国际单位必须确保批准的决定和政策得到适当执行。确保风险和资本管理报告第3支柱中披露的信息对范围、操作的复杂性、系统的复杂性、机构的风险管理流程有足够的详细说明，并确保澄清与机构披露的其他信息有关的任何相关差异；确保公布的信息遵守监管机构制定的当前规则；以及计算、监测和控制与ItaúUnibanco Holding‘s Capital相关的监管运营限额。主要角色和职责ItaúUnibanco的管理层直接参与评估资本充足性及其风险评估的内部过程。讨论资本管理进程的委员会和委员会包括：董事会(CA)。风险和资本管理委员会(CGRC)。资本和压力测试委员会(CCAP)风险管理部：风险管理部旨在确保ItaúUnibanco的风险按照既定的政策和程序进行管理, 除了负责将机构的资本管理集中在一起之外。集中控制的目的是为董事会和高级管理层提供ItaúUnibanco风险敞口的全球视角和 资本充足率的前瞻性视角，以优化和简化公司决策。商务部：在最基本的层面上，预计这些领域将提供必要的信息，用于识别风险、分析其重要性和衡量所需资本，以及编制资本预算、资本计划、应急计划、恢复计划、风险和资本管理报告、支柱3和其他监管和管理报告，确保其完整性、完整性和一致性，并考虑到业务增长和发展，以及本单位的预期风险概况。资本管理过程中涉及的领域必须能够在任何时候被要求采取必要的行动。内部程序详细说明了资本管理进程所涉及的每个领域的责任。相关外部规则 2018年8月31日的巴肯通告3911。BACEN通函3907,2018年9月10日。CMN 2017年2月23日第4 557号决议和2014年12月18日4388号决议。CNSP 2015年第321号决议。BACEN网站上的所有保诚Regulation： https://www.bcb.gov.br/estabilidadefinanceira/regprudencialsegmentacao已于2021年8月获得董事会批准。