CONSELHO NACIONAL DE SUPERVISORES FINANCEIROS

Transcrição

1 CONSELHO NACIONAL DE SUPERVISORES FINANCEIROS CONSULTA PÚBLICA N.º 1/2008 BETTER REGULATION DO SECTOR FINANCEIRO EM MATÉRIA DE CONTROLO INTERNO 1

2 I ENQUADRAMENTO I.1. A iniciativa de Better Regulation em matéria de controlo interno Este documento pretende dar continuidade ao proposto relativamente ao ponto 4.3 Controlo Interno do Relatório de Better Regulation elaborado pelo Conselho Nacional de Supervisores Financeiros (CNSF) e que foi sujeito a consulta pública (Consulta Pública do CNSF n.º 1/2007) 1. Prevê a proposta do Relatório 2 de Better Regulation elaborado pelo CNSF: Propõe-se um reforço da cooperação entre o Banco de Portugal e CMVM, por forma a que, pelo menos para as sociedades financeiras/intermediários financeiros, sejam eliminadas as duplicações de exigências quanto ao (s) relatório (s) de controlo interno impostos pelo Banco de Portugal e pela CMVM. Esta proposta envolverá a convergência das exigências de cada autoridade de supervisão quanto à estrutura e conteúdo mínimo dos relatórios a apresentar. Este último aspecto também poderá requerer a cooperação do ISP, devendo ser asseguradas as especificidades dos riscos associados a cada sector financeiro. Também no que se refere ao prazo para o envio do relatório às autoridades de supervisão seria conveniente o estabelecimento de um prazo uniforme. Finalmente também seria conveniente a convergência quanto aos pareceres que acompanham os relatórios de controlo interno das entidades do sector financeiro. Neste contexto, submetem-se a consulta um projecto de Aviso do Banco de Portugal e de Regulamento da Comissão do Mercado de Valores Mobiliários (CMVM) que visam concretizar a iniciativa de Better Regulation anteriormente referida. I.2. O controlo interno no contexto comunitário A Directiva de Requisitos de Capital (CRD 3 ) e a Directiva dos Mercados de Instrumentos Financeiros (DMIF 4 ) impõem mecanismos de governação interna e sistemas de controlo que no 1 Este documento pode ser consultado em: Sítio da Internet da CMVM: 2 Este documento pode ser consultado em: A CF/8571/CNSFRelatorioConsultaBetterRegulation.pdf 3 Neste contexto, a Directiva n.º 2006/48/CE, do Parlamento Europeu e do Conselho, de 14 de Junho de

3 essencial visam atingir o mesmo objectivo de garantia da existência de uma adequada gestão dos riscos e de protecção dos interesses dos clientes das instituições. Deste modo, pesem embora algumas diferenças nos requisitos impostos pelas duas Directivas referidas, a partilha da mesma finalidade justifica que uma intervenção regulatória no contexto nacional tenha como ponto de partida a adopção de uma plataforma comum que minimize a um tempo arbitragens entre diferentes regimes e a outro tempo a imposição de requisitos heterogéneos às entidades supervisionadas simultaneamente pelo Banco de Portugal e pela CMVM. A imposição, por ambas as autoridades de supervisão, de princípios organizativos e de requisitos gerais de organização interna comuns, bem como de funções ou órgãos internos a quem compete definir e fiscalizar esses princípios e requisitos constitui uma solução que evita o estabelecimento de requisitos paralelos para dar cumprimento a ambas as Directivas, dando-se consistência aos objectivos de "better regulation". De facto, a CRD, não obstante o seu pendor prudencial, estabelece, designadamente no seu artigo 22.º, a necessidade de as instituições de crédito disporem de «(...) dispositivos sólidos em matéria de governo da sociedade, incluindo uma estrutura organizativa clara, com linhas de responsabilidade bem definidas, transparentes e coerentes, processos eficazes de identificação, gestão, controlo e mecanismos adequados de controlo interno, incluindo procedimentos administrativos e contabilísticos sólidos», os quais devem ser proporcionais à natureza, nível e complexidade das actividades desenvolvidas. Note-se que, embora a CRD não desenvolva os aspectos relacionados com a Internal Governance, as Guidelines on the Application of the Supervisory Review Process under Pillar 2 5, publicadas pelo Comité das Autoridades Europeias de Supervisão Bancária (CEBS), definem um conjunto de princípios neste domínio, os quais deverão nortear a avaliação da "Internal Governance" das instituições a realizar pelas autoridades de supervisão. Idênticos requisitos são também fixados pela DMIF no artigo 13.º da Directiva de nível 1, densificados depois nos artigos 5.º a 9.º da Directiva de nível 2. O resultado prático é que as instituições que prossigam simultaneamente actividades de natureza bancária e de intermediação financeira ficam sujeitas aos requisitos de ambas as Directivas, representando esta proposta de abordagem comum um importante marco de simplificação para as instituições sujeitas à supervisão do Banco de Portugal e da CMVM. A concretização da abordagem comum passa pela convergência do projecto de Aviso do Banco de Portugal a submeter a consulta pública com os requisitos e princípios de organização e controlo interno já estatuídos no Código dos Valores 4 Directiva n.º 2004/39/CE, do Parlamento Europeu e do Conselho, de 21 de Abril, densificada e desenvolvida posteriormente por outros dois diplomas, a Directiva n.º 2006/73/CE e o Regulamento (CE) n.º 1287/2006, ambos da Comissão, de 10 de Agosto. 3

4 Mobiliários (artigo 305.º e seguintes) e simultaneamente pela aceitação, pelo Banco de Portugal e pela CMVM de um relatório único de controlo interno, sem prejuízo de existirem conteúdos do mesmo que apenas possam respeitar às competências específicas de uma delas, os quais, caso as instituições assim o entendam, poderão ser remetidos a ambas as autoridades de supervisão. Acrescente-se que, relativamente ao sector segurador, se encontra em discussão no Conselho Europeu uma proposta de Directiva Quadro 6 relativa à actividade seguradora e resseguradora que reformula o sistema de solvência. Esta Directiva estabelece os requisitos a exigir às empresas de seguros e de resseguros relativamente ao sistema de governação, no âmbito dos quais se inclui: - A exigência de garantia de uma gestão sã e prudente das suas actividades; - A existência de um sistema de gestão de riscos, incluindo uma função de gestão de riscos e uma função actuarial; e - A existência de um sistema de controlo interno, incluindo uma função de compliance e de auditoria interna. Estes requisitos, exceptuando o requisito específico da actividade seguradora relativo à função actuarial, são compatíveis com os textos da CRD e DMIF. Simultaneamente o Comité Europeu dos Supervisores de Seguros e de Pensões Complementares de Reforma (CEIOPS) emitiu, em Julho de 2007, um Issues Paper sobre Risk Management and Other Corporate Issues 7 prevendo os futuros desenvolvimentos de nível 2 e 3 sobre esta matéria. Ademais, a necessidade de convergência dos requisitos relativos ao controlo interno nos três sectores financeiros é consensual também a nível internacional. O 3L3 Medium Term Work Programme 8, em consulta pública até 18 de Janeiro de 2008, identifica a comprehensive list of cross-sector areas for delivery in the period to the end of 2010 the 'medium term'. In these areas they are committed to delivering maximum consistency across sectors. In doing so, the Committees will build on past work, and in other areas new inputs such as mapping exercises or 5 Este documento pode ser consultado em: Sítio da Internet do CEBS: 6 Este documento pode ser consultado em: Sítio da Internet Eur lex: 7 Este documento pode ser consultado em: Sítio da Internet do CEIOPS: 8 Este documento pode ser consultado em: Sítio da Internet do CESR: Sítio da Internet do CEIOPS: pdf Sítio da Internet do CEBS: 4

5 exchanges of information. To ensure the most efficient and effective use of limited resources, six key areas have been identified within the three year term, sendo uma das áreas identificadas a Internal Governance. Os Comités de nível de três (CEBS, CEIOPS e CESR) prevêem assim desenvolver trabalhos conjuntos no âmbito de um plano de convergência dos requisitos de Internal Governance. De facto, para grupos e conglomerados financeiros a operar em vários países a existência de diferentes requisitos relativos à governação potencia os custos resultantes da implementação dos sistemas nas diversas empresas. As diferenças registadas entre sectores financeiros nas respectivas Directivas resumem-se na sua grande maioria a diferenças de forma e não de conteúdo. I.3. O controlo interno no contexto nacional A existência de sólidos mecanismos de controlo interno e em particular a presença de funções de "compliance", de gestão de riscos ou de auditoria interna na estrutura organizativa das instituições financeiras permite prevenir, detectar e mitigar riscos que de outro modo poderiam degenerar em crises susceptíveis de afectar a confiança nos mercados financeiros. A supervisão, por parte dos reguladores, dos sistemas de controlo interno e de gestão de riscos das instituições é crucial para detectar deficiências e adoptar preventivamente medidas que as permitam sanar. Neste contexto, a prestação de informação em base anual aos reguladores sobre as actividades desenvolvidas por estas funções permitirá fazer a apreciação da qualidade das mesmas e tomar conhecimento das principais deficiências detectadas e das medidas correctivas que a instituição entretanto adoptou. Os relatórios exigidos seguem uma filosofia baseada em princípios, estabelecendo um conjunto de objectivos e metas que devem ser contemplados, mas sem se prescrever um conteúdo específico e detalhado, permitindo uma abordagem flexível em função da natureza das instituições e dos riscos das actividades prosseguidas. Deste modo, sem prejuízo de futuros desenvolvimentos que venham a resultar do trabalho a nível dos Comités de nível 3, o projecto de Better Regulation, pretende desde já encetar um percurso de convergência dos três sectores financeiros a nível nacional. No que se refere ao sector segurador, numa óptica de adaptação gradual ao novo regime de solvência, o Instituto de Seguros de Portugal (ISP) emitiu em 2005 regulamentação relativa ao 5

6 estabelecimento de adequadas estruturas e mecanismos de gestão de riscos e controlo interno a implementar pelas empresas de seguros. II PROJECTOS A SUBMETER A CONSULTA PÚBLICA II.1. Convergência regulatória entre o Banco de Portugal, CMVM e ISP Analisadas as diferenças e ponderados os actuais estádios de desenvolvimento da legislação nos três sectores de actividade, a convergência iniciar-se-á com um projecto de Aviso do Banco de Portugal e de um projecto de Regulamento da CMVM, os quais são colocados em Consulta Pública com este documento. O projecto de Aviso do Banco de Portugal visa definir requisitos mínimos para o sistema de controlo interno a implementar pelas instituições sujeitas à supervisão do Banco de Portugal. O articulado é, de um modo geral, consistente com a Norma Regulamentar 14/2005-R, de 29 de Novembro, do ISP, embora adaptado à estrutura conceptual utilizada no Modelo de Avaliação de Riscos MAR. O documento incorpora ainda, conforme já se adiantou anteriormente, as disposições do Código de Valores Mobiliários relativas às funções de "compliance", gestão de riscos e auditoria interna. As exigências do Banco de Portugal e CMVM em matéria de relatórios de controlo interno encontram-se, agora, harmonizadas, permitindo às instituições a elaboração de um relatório único, sem prejuízo de existirem conteúdos do mesmo que possam respeitar às competências específicas do Banco de Portugal ou da CMVM, os quais, caso as instituições assim o entendam, poderão ser remetidos a ambas as autoridades de supervisão. Relativamente à convergência dos normativos do Banco de Portugal e da CMVM com o normativo do ISP, permanecem ainda algumas divergências, que tenderão a esbater-se com a evolução do normativo comunitário actualmente em discussão. Desde logo, o projecto de Aviso do Banco de Portugal e o Código de Valores Mobiliários prevêem na estrutura organizacional a existência de uma função de compliance. Esta função não é explicitamente expressa no normativo do ISP, embora as responsabilidades inerentes estejam devidamente identificadas. No entanto, é uma função que já se encontra prevista na proposta de Directiva Quadro em discussão no Conselho Europeu e no referido Issues Paper sobre Risk Management and Other Corporate Issues emitido pelo CEIOPS, e que será oportunamente incorporada no normativo do ISP. Note-se, ainda, que o Relatório previsto no projecto de Aviso pelo Banco de Portugal deverá ser enviado pelo órgão de administração ao Banco de Portugal, conjuntamente com três pareceres, do órgão de administração, do órgão de fiscalização e do revisor oficial de contas. Este relatório não diverge materialmente do relatório previsto no normativo do ISP, a enviar pelo órgão de 6

7 administração ao ISP, conjuntamente com um parecer do revisor oficial de contas, definindo o Aviso do Banco de Portugal apenas um maior nível de detalhe relativamente ao seu conteúdo. II.2. O projecto de Aviso do Banco de Portugal A estrutura conceptual do projecto de Aviso baseia-se nos objectivos e princípios de controlo interno enunciados no MAR - Modelo de Avaliação de Riscos 9, os quais derivam dos conceitos definidos no Internal Control Integrated Framework publicado pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), das recomendações emanadas pelo Comité de Basileia através do Framework for Internal Control Systems in Banking Organizations" 10 e das orientações em matéria de Internal Governance divulgadas pelo Comité das Autoridades Europeias de Supervisão Bancária (CEBS). Comparativamente com o actual Aviso, o presente projecto de normativo adopta uma abordagem mais prescritiva, detalhando as obrigações definidas no artigo 14.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras, através da enumeração dos requisitos mínimos que um sistema de controlo interno deve respeitar e quais as responsabilidades do órgão de administração neste âmbito. Esta opção encontra-se alinhada com as disposições regulamentares emanadas por outras autoridades de supervisão europeias, as quais incidem, igualmente, na definição detalhada de princípios e requisitos que as instituições supervisionadas devem respeitar na implementação dos respectivos sistemas de controlo interno. Esta abordagem, ao construir uma matriz de requisitos passível de verificação, permite aumentar a eficiência das tarefas de supervisão relacionadas com a análise da qualidade dos sistemas de controlo interno implementados pelas instituições (aspecto fundamental, nomeadamente, para a avaliação do perfil das instituições no âmbito do MAR), mas, também, ultrapassar algumas das dificuldades sentidas pelas próprias instituições supervisionadas no cumprimento do quadro normativo actual, pelo facto de este não concretizar os requisitos a observar em matéria de controlo interno. Em concreto, o projecto de Aviso encontra-se estruturado em oito capítulos: Capítulo I - Disposições gerais; Capítulo II - Ambiente de controlo; Capítulo III - Sistema de gestão de riscos; Capítulo IV - Processos de Informação e Comunicação; Capítulo V - Monitorização do sistema de controlo interno; Capítulo VI - Sistema de controlo interno dos grupos financeiros; Capítulo VII - Relatórios e pareceres, e Capítulo VIII - Disposições finais e transitórias: 9 Este documento pode ser consultado em: Sítio do Banco de Portugal: 10 Este documento pode ser consultado em: Sítio do BIS: 7

8 O Capítulo I estabelece o âmbito de aplicação e os destinatários do normativo, define o conceito e objectivos do controlo interno, os princípios básicos que devem nortear a implementação de um sistema de controlo interno e atribui a responsabilidade ao órgão de administração pela existência de um sistema de controlo interno adequado e eficaz. Tais princípios básicos e a inerente responsabilidade do órgão de administração são detalhados nos capítulos II a V. De um modo geral, as disposições dos capítulos I a V reflectem os objectivos e princípios do controlo interno enunciados no MAR, embora incorporem uma obrigação adicional de as instituições passarem a dispor, na sua estrutura organizacional, de uma função de "compliance" - que já se encontrava prevista no Aviso n.º 3/2006, embora sem competências claramente definidas - e de uma função de gestão de riscos, em complemento à função de auditoria interna. A imposição destas funções - cujas competências se encontram claramente diferenciadas no projecto de Aviso encontra-se alinhada com as mais recentes disposições comunitárias sobre controlo interno e com as recomendações do CEBS nesta matéria, sendo que permite assegurar a necessária coerência entre o normativo do Banco de Portugal e o determinado no Código de Valores Mobiliários, de modo a promover a desejada harmonização das exigências das duas autoridades de supervisão nesta matéria. Note-se que, com as alterações introduzidas pelo Decreto-Lei n.º 357-A/2007, de 31 de Outubro, que transpôs, para o direito interno, a Directiva dos Mercados de Instrumentos Financeiros, o Código de Valores Mobiliários passou a impor a constituição de tais funções a todos os intermediários financeiros, ainda que com responsabilidades limitadas às actividades de intermediação financeira. Assim, na prática, o projecto de Aviso limita-se a alargar as responsabilidades atribuídas a estas funções e a estender a sua aplicação a todas as entidades sujeitas à supervisão do Banco de Portugal. Importa sublinhar que o projecto de Aviso prevê, no respeito do princípio da proporcionalidade, que as instituições, tanto no desenvolvimento destas funções como na implementação dos restantes requisitos de controlo interno, tenham, nomeadamente, em consideração a dimensão, a natureza e a complexidade da actividade desenvolvida. O Capítulo VI, que estabelece os requisitos aplicáveis aos sistemas de controlo dos grupos financeiros, mantém, de um modo geral, as obrigações definidas no n.º 17.º do Aviso n.º 3/2006; 8

9 O Capítulo VII define o conteúdo, a data de referência e o prazo de envio ao Banco de Portugal dos relatórios de controlo interno, individual e do grupo financeiro; Relativamente ao relatório individual, optou-se por, com base na experiência adquirida durante a vigência do actual quadro normativo, simplificar o seu conteúdo e direccioná-lo para as necessidades de informação associadas à avaliação do perfil de risco das instituições. Em substituição da descrição dos procedimentos de controlo interno actualmente solicitada pelo n.º 14.º do Aviso n.º 3/2006, o projecto de Aviso focaliza-se nas deficiências de controlo interno. Em concreto, é proposto que o relatório de controlo interno passe, fundamentalmente, a explicitar as eventuais deficiências identificadas pela função de gestão de riscos, pela função de "compliance" e pela função de auditoria interna, com indicação do grau de risco associado e das suas potenciais implicações, bem como as medidas adoptadas ou a adoptar para corrigir as deficiências detectadas e prevenir a sua ocorrência futura indicando, a data de implementação ou os prazos estabelecidos para o efeito. No caso das deficiências identificadas em relatórios anteriores que ainda se mantenham, é solicitado que seja indicado o prazo previsto para a sua correcção, bem como, se aplicável, uma justificação para o não cumprimento do calendário inicialmente previsto. Complementarmente, é requerido que o órgão de administração emita uma opinião global sobre a adequação e eficácia do sistema de controlo interno e identifique outras deficiências do sistema de controlo interno da instituição, para além das reportadas pelas função de gestão de riscos, compliance e de auditoria interna, bem como as acções a desenvolver para superar tais deficiências e o respectivo calendário de implementação. Quanto aos pareceres do órgão de fiscalização e do revisor oficial de contas, o projecto de Aviso mantém as obrigações prevista no Aviso n.º 3/2006. No entanto, julga-se que a abordagem adoptada no projecto de Aviso facilitará, agora, a emissão destes pareceres, dado que passará a existir um quadro de referência para nortear as acções fiscalizadoras do sistema de controlo interno da instituição. As opções anteriores encontram-se igualmente reflectidas na proposta de relatório do grupo financeiro. Quanto ao relatório do grupo financeiro, o projecto incorpora, face ao Aviso n.º 3/2006, uma alteração adicional no que se refere às filiais no estrangeiro, excluindo-as da obrigação de elaboração de relatórios individuais quando desenvolvam actividade não relevante ou quando não influenciem o perfil de risco do grupo, ficando a empresa-mãe com a responsabilidade de justificar adequadamente tal exclusão e o Banco de Portugal com a faculdade de requer a sua inclusão no relatório do ano seguinte. 9

10 Relativamente à data de referência, o projecto de Aviso passa a explicitar que o relatório de controlo interno deve reflectir o teor dos relatórios das funções de compliance, gestão de riscos e auditoria interna submetidos ao órgão de administração da instituição até 30 dias antes da data de envio do relatório ao Banco de Portugal, enquanto o parecer do órgão de administração deve reproduzir a situação à data de envio do relatório. No caso dos pareceres dos órgãos de fiscalização e do revisor oficial de contas, passa a ser obrigatória a inclusão da data de referência da acção fiscalizadora subjacente à emissão dos pareceres. Por último, o capítulo VIII prevê, designadamente, que o Banco de Portugal possa estabelecer requisitos mínimos adicionais e/ou orientações de índole técnica para efeitos da implementação dos sistemas de controlo interno das instituições, nomeadamente no que se refere às áreas e/ou aos riscos que se considerem mais relevantes, e alarga o prazo de reporte no primeiro ano de aplicação do Aviso. A possibilidade de o Banco de Portugal impor requisitos mínimos adicionais e/ou orientações de índole técnica para efeitos da implementação dos sistemas de controlo interno visa acomodar, por exemplo, as actuais determinações relativas ao Processo de Auto-avaliação da Adequação do Capital Interno (ICAAP) e outras futuras, designadamente, em matéria de branqueamento de capitais ou da implementação de planos de contingência. Refira-se, a este propósito, que o projecto de Aviso, de modo a não se sobrepor às exigências estabelecidas pela Instrução n.º 15/2007, omite, intencionalmente, os requisitos de controlo interno associados ao ICAAP. Assim, tais requisitos deverão ser entendidos como complementares ao quadro conceptual geral definido no projecto de Aviso. No entanto, o Banco de Portugal coloca a hipótese de este normativo integrar, também, os requisitos de controlo interno associados ao cálculo do capital interno, através da incorporação, designadamente, das disposições que constam actualmente nos n.º 7 a 14 da Instrução n.º 15/2007. Neste contexto, o conteúdo da Instrução seria revisto, de modo a restringir o seu âmbito à definição da estrutura do relatório sobre o ICAAP a remeter ao Banco de Portugal, bem como aos aspectos relacionados com o processo de revisão e avaliação a desenvolver pela autoridade de supervisão. Quanto à previsão de um prazo alargado para o envio do primeiro reporte, em 2008, considera-se que a definição detalhada dos requisitos do sistema de controlo interno justifica a existência de um período mínimo de adaptação que permita às instituições assegurar a sua efectiva implementação, dado que será necessário não só reformatar os relatórios de controlo interno, mas também avaliar a necessidade de introduzir ajustamentos nos sistemas de controlo interno, de modo a dar cumprimento ao estabelecido no Aviso. 10

11 II.3. O projecto de Regulamento da CMVM O projecto de Regulamento da CMVM pretende essencialmente dar corpo a uma necessária convergência com o Banco de Portugal na temática do controlo interno, devendo, contudo, ser contextualizado no ambiente regulatório decorrente da transposição da DMIF. A proposta inclui uma concretização dos critérios que determinam em que circunstâncias se considera não serem exigíveis sistemas independentes de controlo do cumprimento ("compliance"), de gestão de riscos e a existência de uma função de auditoria interna, respondendo a uma aspiração da maioria dos intermediários financeiros que responderam à consulta pública da CMVM n.º 13/2006 e do Banco de Portugal n.º 2/2006 sobre os anteprojectos de transposição da DMIF 11. Pretende-se igualmente reduzir o grau de incerteza que os critérios genéricos do Código dos Valores Mobiliários comportam, minimizando possíveis arbitragens entre instituições na interpretação dos critérios previstos nos artigos 305.º-A a 305.º-C do Código dos Valores Mobiliários. Ademais, esta concretização já é efectiva para o sistema de controlo do cumprimento (cf. n.º 2 do artigo 6.º do Regulamento da CMVM n.º 2/2007), estendendo-a agora à função de gestão de riscos e à auditoria interna. Os critérios propostos são o número de colaboradores envolvidos no exercício de actividades de intermediação financeira e os proveitos operacionais contabilizados no último exercício. Julga-se que a conjugação de ambos os critérios resulta numa aplicação consistente do princípio da proporcionalidade, reflectindo directamente a dimensão das actividades e indirectamente a complexidade associada às mesmas. Os intermediários financeiros que respeitem os critérios definidos são, no entanto, livres de decidir implementar sistemas independentes de controlo do cumprimento ("compliance"), de gestão de riscos ou de criar uma função de auditoria interna, cabendo ao órgão de administração a responsabilidade dessa decisão, face às circunstâncias concretas das actividades exercidas e à sua natureza e complexidade. Relativamente à informação que deve ser prestada à CMVM pelo intermediário financeiro, numa base regular, sobre a eficácia do seu sistema de controlo interno, altera-se a exigência que actualmente é feita no artigo 11.º do Regulamento da CMVM n.º 2/2007, deixando assim ser enviados os relatórios produzidos ao abrigo dos artigos 305.º-A a 305.º-C do Código dos Valores Mobiliários após a sua apresentação ao órgão de administração e ao órgão de fiscalização. Em sua substituição, passa a ser enviado um relatório de avaliação da eficácia das políticas, procedimentos e normas internas, o qual reflectirá em grande medida os aspectos mais relevantes evidenciados pelos relatórios dos órgãos de controlo interno dos intermediários

12 financeiros, bem como um parecer do órgão de administração com uma opinião global sobre a organização e o controlo interno da instituição. A solução proposta tem a vantagem de não exigir o envio ao supervisor de relatórios produzidos internamente com a finalidade primeira de detectar deficiências e incumprimentos e proceder à sua correcção, obviando o risco de os mesmos poderem ser enviesados para responder às necessidade de informação do supervisor e não, como é pretendido, dos órgãos internos com responsabilidades de topo do próprio intermediário financeiro. O artigo 11.º-A da proposta de Regulamento define o conteúdo, a data de referência e o prazo de envio à CMVM do relatório de avaliação referido, havendo neste particular uma total convergência entre o Banco de Portugal e a CMVM que se reflecte na possibilidade de ser produzido um relatório único para envio a ambas as autoridades, já que foram eliminadas as divergências nos conteúdos prescritos por ambos os projectos. Neste particular, refira-se, por exemplo, que os conteúdos que possam respeitar a necessidades de informação específicas de uma das autoridades de supervisão (como é o caso da descrição de riscos prevista na alínea c) do n.º 3 do Artigo 11.º-A do projecto de Regulamento, que não é exigida no projecto de Aviso do Banco de Portugal, dado que já é solicitada no relatório sobre o ICAAP previsto na Instrução n.º 15/2007) deverão constar de anexo ao relatório único. Ainda sobre o conteúdo do relatório, uma vez que este reflecte no essencial os relatórios elaborados pelos serviços de controlo do cumprimento, de gestão de riscos e de auditoria interna, o mesmo não constitui a imposição de um dever adicional aos intermediários financeiros face às exigências actuais (cf. artigo 36.º-A do Regulamento da CMVM n.º 12/2000), representando, inclusive, uma simplificação do modelo de relatório vigente, mais descritivo e denso. III. O PROCESSO DE CONSULTA O Banco de Portugal, o ISP e a CMVM convidam os participantes do mercado, os aforradores e o público em geral à apresentação de comentários, no âmbito da presente consulta, até ao dia 25 de Fevereiro, relativamente às propostas constantes dos documentos em anexo. Encoraja-se que os comentários se refiram ao conteúdo integral das propostas. Porém, para orientar os destinatários da consulta, no que se refere, em particular, ao projecto de Aviso do Banco de Portugal formulam-se um conjunto de questões direccionadas a que se convida sejam dadas respostas. 12

13 Os contributos devem ser remetidos para o Banco de Portugal, para o ISP e para a CMVM, preferencialmente por correio electrónico para os endereços info@bportugal.pt, desenvolvimento@isp.pt e cmvm@cmvm.pt. As respostas à consulta pública podem igualmente ser expedidas, por correio normal ou por fax, para uma das instituições (no caso do Banco de Portugal: Rua do Comércio, n.º 148, Lisboa; telefax n.º ; no caso do ISP: Avenida de Berna, n.º 19, Lisboa; telefax n.º ; e no caso da CMVM: Avenida da Liberdade, n.º 252, Lisboa; telefax n.º /78). Atendendo a razões de transparência o Banco de Portugal, o ISP, e a CMVM propõem-se publicar os contributos recebidos ao abrigo desta consulta. Assim, caso o respondente se oponha à referida publicação deve comunicá-lo expressamente no contributo a enviar. Qualquer dúvida ou esclarecimento adicional sobre a presente consulta pública poderá ser elucidado pela Dr. Luís Costa Ferreira, do Departamento de Supervisão Bancária do Banco de Portugal, pela Dra. Ana Teresa Moutinho, da Direcção de Desenvolvimento e Relações Institucionais do ISP, e pelo Dr. António Miguel Oliveira, do Departamento Internacional e de Política Regulatória da CMVM. 13

14 ANEXO I PROJECTO DE AVISO DO BANCO DE PORTUGAL QUE ESTABELECE OS REQUISITOS APLICÁVEIS NA IMPLEMENTAÇÃO DE SISTEMAS DE CONTROLO INTERNO CAPÍTULO I DISPOSIÇÕES GERAIS Artigo 1.º Âmbito e destinatários 1 - As instituições de crédito, as sociedades financeiras e as sucursais de países terceiros, adiante designadas por instituições, devem dispor de um sistema de controlo interno que obedeça aos princípios mínimos definidos neste Aviso. 2 - Sem prejuízo do disposto no número anterior, o sistema de controlo interno das caixas de crédito agrícola mútuo (CCAM) integrantes do Sistema Integrado do Crédito Agrícola Mútuo (SICAM) deve ser concebido e organizado em articulação com a Caixa Central de Crédito Agrícola Mútuo. 3 - Ficam igualmente sujeitas ao disposto no presente Aviso as sociedades gestoras de participações sociais sujeitas à supervisão do Banco de Portugal nos termos do disposto no artigo 117.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras, quando sejam consideradas empresas-mãe nos termos da alínea a) do n.º 3 do artigo 24.º. Artigo 2.º Definição e objectivos do controlo interno Para efeitos do disposto no presente Aviso, o sistema de controlo interno define-se como o conjunto das estratégias, sistemas, processos, políticas e procedimentos definidos pelo órgão de administração, bem como das acções empreendidas por este órgão e pelos restantes colaboradores da instituição, com vista a garantir: a) Um desempenho eficiente e rentável da actividade, no médio e longo prazos (objectivos de desempenho), que assegure a utilização eficaz dos activos e recursos, a continuidade do negócio e a própria sobrevivência da instituição, através, nomeadamente, de uma adequada gestão e controlo dos riscos da actividade, da prudente e adequada avaliação dos activos e responsabilidades, bem como da implementação de mecanismos de protecção contra utilizações não autorizadas, intencionais ou negligentes; 14

15 b) A existência de informação financeira e de gestão, completa, pertinente, fiável e tempestiva (objectivos de informação), que suporte as tomadas de decisão e processos de controlo, tanto a nível interno como externo; c) O respeito pelas disposições legais e regulamentares aplicáveis (objectivos de "compliance"), bem como das normas e usos profissionais e deontológicos, das regras internas e estatutárias, das regras de conduta e de relacionamento com clientes, das orientações dos órgãos sociais e das recomendações do Comité de Supervisão Bancária de Basileia e do Comité das Autoridades Europeias de Supervisão Bancária (CEBS), de modo a proteger a reputação da instituição e a evitar que esta seja alvo de sanções. QUESTÃO 1: Concorda com os objectivos anteriores? Em caso de resposta negativa, justificar. Artigo 3.º Princípios gerais 1 - Para atingir, de forma eficaz, os objectivos definidos no artigo anterior, o sistema de controlo interno da instituição deve ter por base: a) Um adequado ambiente de controlo, que reflicta a atitude, a consciência e os actos do órgão de administração e dos restantes colaboradores da instituição, relativamente aos objectivos definidos, o qual deve enfatizar a importância do sistema de controlo interno da instituição; b) Um sólido sistema de gestão de riscos, destinado a identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar os objectivos definidos pela instituição, que assegure que os objectivos da instituição são atingidos e que são tomadas as acções necessárias para responder adequadamente aos riscos previamente identificados; c) Um eficiente sistema de informação e comunicação, instituído para garantir a captação, tratamento e troca de dados relevantes, abrangentes e consistentes, num prazo e de uma forma que permitam o desempenho eficaz e tempestivo da gestão e controlo da actividade e dos riscos da instituição; d) Um efectivo processo de monitorização, executado com vista a assegurar a adequação e eficácia do próprio sistema de controlo interno ao longo do tempo. 2 - O sistema de controlo interno deve ser aplicado de forma consistente em todos os estabelecimentos da instituição, incluindo as sucursais no exterior. 15

16 3 - O sistema de controlo interno deve ser adequado à dimensão, natureza e complexidade da actividade, à natureza e magnitude dos riscos assumidos ou a assumir, bem como ao grau de centralização e delegação de autoridade estabelecido na instituição. 4 - A instituição deve planear, implementar e monitorizar, de forma adequada, o seu sistema de controlo interno e formalizar em documento(s) específico(s) as respectivas estratégias, sistemas, processos, políticas e procedimentos, bem como as alterações introduzidas. QUESTÃO 2: Concorda com os princípios anteriores? Em caso de resposta negativa, justificar. Artigo 4.º Responsabilidades gerais do órgão de administração 1 - O órgão de administração é responsável pela implementação e manutenção de um sistema de controlo interno adequado e eficaz, que garanta o cumprimento dos objectivos estabelecidos no artigo 2.º e respeite os princípios definidos no artigo 3.º. 2 - Para efeitos do número anterior, o órgão de administração deve: a) Detalhar os objectivos e princípios subjacentes ao sistema de controlo interno, incorporando-os na estratégia e políticas da instituição, e assegurar o seu cumprimento pelos colaboradores da instituição; b) Garantir a existência de recursos materiais e humanos suficientes e adequados para a execução das funções e tarefas inerentes ao sistema de controlo interno e promover as necessárias acções de formação em matéria de controlo interno. 3 - O exercício das competências descritas no número anterior deve ser adequadamente documentado. QUESTÃO 3: Concorda com as responsabilidades atribuídas ao órgão de administração? Em caso de resposta negativa, justificar. 16

17 CAPÍTULO II AMBIENTE DE CONTROLO Artigo 5.º Definição e objectivos do ambiente de controlo 1 - O ambiente de controlo constitui o suporte dos restantes elementos que integram o sistema de controlo interno, estabelecendo a sua disciplina e estrutura. 2 - O ambiente de controlo é influenciado, designadamente, pelo padrão de valores éticos seguido pela instituição, pela exigência de níveis adequados de competência para os recursos humanos em função das responsabilidades atribuídas, pelo grau de transparência da estrutura organizacional e da sua adequação face à complexidade e dimensão da actividade da instituição, pela clareza da cadeia hierárquica e das responsabilidades e competências atribuídas a cada função, pela atitude face ao risco e pelo grau de envolvimento do órgão de administração na actividade desenvolvida. Artigo 6.º Estrutura organizacional 1 - As instituições devem ter uma estrutura organizacional bem definida, transparente e perceptível, que sirva de suporte ao desenvolvimento da actividade e à implementação de um sistema de controlo interno adequado e eficaz, no sentido de assegurar que a gestão e o controlo das operações são efectuados de uma forma prudente. 2 - A estrutura organizacional deve assentar numa definição coerente, clara e objectiva das competências e responsabilidades de cada unidade de estrutura e/ou função, das linhas de reporte e de autoridade, bem como do grau e âmbito de cooperação entre as diversas unidades de estrutura ou funções e contemplar uma adequada segregação de funções. 3 - A estrutura organizacional deve ser adequada à dimensão, natureza e complexidade da actividade desenvolvida pela instituição e ser do conhecimento de todos os seus colaboradores. 4 - No caso de instituições com reduzida amplitude de actividade e de riscos associados e em que, devido à limitação de recursos disponíveis, seja inexequível a total segregação de funções, devem ser implementados procedimentos alternativos de controlo que garantam uma segurança equivalente. 5 - A estrutura organizacional, incluindo as competências e responsabilidades de cada unidade de estrutura e/ou função, as linhas de reporte e de autoridade e o grau e âmbito de cooperação entre 17

18 as diversas unidades de estrutura ou funções, deve ser documentada, analisada e revista periodicamente, com vista a garantir a sua permanente adequação. Artigo 7.º Cultura organizacional 1 - A cultura organizacional da instituição deve garantir que todos os colaboradores reconhecem a importância do controlo interno, de modo a assegurar uma gestão sã e prudente da actividade da instituição. 2 - A cultura organizacional deve ser promovida directamente pelo órgão de administração, através da adopção e manifestação de padrões elevados de ética, de integridade e de profissionalismo, os quais devem ser formalizados em códigos de conduta aplicáveis a todos os colaboradores da instituição. 3 - Todos os colaboradores da instituição devem contribuir para o controlo interno, devendo, para o efeito, compreender o seu papel no sistema implementado. Artigo 8.º Planeamento estratégico 1 - A instituição deve possuir uma estratégia, sustentável a longo prazo, para a sua actividade, para o seu perfil de risco e para o controlo interno, a qual deve, nomeadamente: a) Definir objectivos precisos, claros e razoáveis para a actividade global e para cada área de negócio e abranger os principais produtos, actividades, sistemas e processos; b) Determinar a política de risco da instituição e o nível de rendibilidade expectável relativamente a cada categoria de risco; c) Estabelecer orientações que sirvam de base ao desenvolvimento do sistema de controlo interno da instituição. 2 - A estratégia deve encontrar-se devidamente documentada e ser comunicada, pela forma e com o detalhe considerados adequados, a todos os colaboradores da instituição. 3 - A estratégia deve estar devidamente suportada em recursos humanos, materiais e de capital adequados à sua prossecução. 4 - A definição da estratégia deve assentar num processo formal de planeamento estratégico, executado com uma periodicidade adequada e baseado em pressupostos devidamente sustentados e em informação fiável e compreensível. 18

19 Artigo 9.º Responsabilidades do órgão de administração relativamente ao ambiente de controlo 1 - O órgão de administração é responsável por definir, ou propor ao órgão competente, a estratégia da instituição e garantir que a estrutura e a cultura organizacionais permitem desenvolver adequadamente a estratégia definida. 2 - Para efeitos do número anterior, compete, nomeadamente, ao órgão de administração: a) Aprovar, ou fazer aprovar pelo órgão competente, a estratégia da instituição, incluindo as suas revisões, e zelar pela sua adequada implementação; b) Definir, aprovar e rever a estrutura organizacional da instituição, bem como assegurar a sua adequada implementação e manutenção; c) Promover uma cultura de controlo interno que abranja todos os colaboradores da instituição, sustentada em elevados padrões de ética e de integridade e na definição e aprovação de códigos de conduta apropriados; d) Assegurar que todos os colaboradores da instituição compreendem o seu papel no sistema implementado de forma a poderem contribuir de forma efectiva para o controlo interno; e) Garantir que os colaboradores têm, individual e colectivamente, competência, conhecimento, integridade, prudência e experiência requeridas para o desempenho das suas funções; f) Definir, aprovar e rever as políticas de recursos humanos e garantir a sua suficiência; g) Assegurar que quaisquer áreas de potenciais conflitos de interesse são identificadas antecipadamente, minimizadas e sujeitas a uma monitorização cuidadosa e independente; h) Tomar as providências necessárias caso sejam identificadas quaisquer falhas e/ou fragilidades na estrutura organizacional, quaisquer incumprimentos da cultura organizacional ou desvios face à estratégia aprovada. 3 - O exercício das competências descritas no número anterior deve ser adequadamente documentado. QUESTÃO 4: Concorda com os requisitos aplicáveis ao ambiente de controlo? Em caso de resposta negativa, justificar. 19

20 CAPÍTULO III SISTEMA DE GESTÃO DE RISCOS Artigo 10.º Definição e objectivos do sistema de gestão de riscos 1 - O sistema de gestão de riscos deve corresponder a um conjunto integrado de processos contínuos que garantam uma implementação adequada da estratégia e o cumprimento dos objectivos da instituição, com base numa compreensão apropriada da natureza e da magnitude dos riscos subjacentes à actividade desenvolvida. 2 - Para efeitos do disposto no número anterior, o sistema de gestão de riscos deve permitir a identificação, avaliação, acompanhamento e controlo de todos os riscos materiais a que a instituição se encontra exposta, tanto por via interna como externa, por forma a assegurar que aqueles se mantêm ao nível previamente definido pelo órgão de administração e que não afectarão significativamente a situação financeira da instituição. 3 - O sistema de gestão de riscos deve ter uma influência activa nas tomadas de decisão do órgão de administração e dos órgãos de gestão intermédia. Artigo 11.º Princípios aplicáveis aos sistemas de gestão de riscos 1 - O sistema de gestão de riscos deve ser sólido, eficaz, consistente e abarcar todos os produtos, actividades, processos e sistemas da instituição, sem prejuízo do disposto no número seguinte. 2 - O sistema de gestão de riscos deve ser proporcional à dimensão, natureza e complexidade da actividade da instituição, tomando, nomeadamente, em consideração a natureza e magnitude dos riscos que a mesma assume e/ou pretende assumir. 3 - O sistema de gestão de riscos deve tomar em consideração os riscos de crédito, de mercado, de taxa de juro, de taxa de câmbio, de liquidez, de "compliance", operacional, de sistemas de informação, de estratégia e de reputação, bem como todos os outros riscos que, em face da situação concreta da instituição, se possam revelar materiais. 4 - Para efeitos do número anterior entende-se por: a) Risco de crédito: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, devido à incapacidade de uma contraparte cumprir os seus compromissos financeiros perante a instituição, incluindo possíveis restrições à transferência de pagamentos do exterior; 20

21 b) Risco de mercado: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, devido a movimentos desfavoráveis no preço de mercado dos instrumentos da carteira de negociação, provocados, nomeadamente, por flutuações em taxas de juro, taxas de câmbio, cotações de acções ou preços de mercadorias; c) Risco de taxa de juro: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, devido a movimentos adversos nas taxas de juro de elementos da carteira bancária, por via de desfasamentos de maturidades ou de prazos de refixação das taxas de juro, da ausência de correlação perfeita entre as taxas recebidas e pagas nos diferentes instrumentos, ou da existência de opções embutidas em instrumentos financeiros do balanço ou elementos extrapatrimoniais; d) Risco de taxa de câmbio: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, devido a movimentos adversos nas taxas de câmbio de elementos da carteira bancária, provocados por alterações nas taxas de câmbio utilizadas na conversão para a moeda funcional ou pela alteração da posição competitiva da instituição devido a variações significativas das taxas de câmbio; e) Risco de liquidez: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, decorrentes da incapacidade da instituição dispor de fundos líquidos para cumprir as suas obrigações financeiras, à medida que as mesmas se vencem; f) Risco de "compliance": a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, decorrentes de violações ou não conformidade relativamente a leis, regulamentos, determinações específicas, contratos, regras de conduta e de relacionamento com clientes, práticas instituídas ou princípios éticos, que se materializem em sanções de carácter legal, na limitação das oportunidades de negócio, na redução do potencial de expansão ou na impossibilidade de exigir o cumprimento de obrigações contratuais; g) Risco operacional: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, decorrentes de falhas na análise, processamento ou liquidação das operações, de fraudes internas e externas, de a actividade ser afectada devido à utilização de recursos em regime de subcontratação, de processos de decisão internos ineficazes, de recursos humanos insuficientes ou inadequados ou da inoperacionalidade das infra-estruturas; h) Risco dos sistemas de informação: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, em resultado da inadaptabilidade dos sistemas de informação a novas necessidades, da sua incapacidade para impedir acessos não autorizados, para garantir a integridade dos dados ou para assegurar a continuidade do negócio em casos de falha, bem como devido ao prosseguimento de uma estratégia desajustada nesta área; 21

22 i) Risco de estratégia: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, decorrentes de decisões estratégicas inadequadas, da deficiente implementação das decisões ou da incapacidade de resposta a alterações do meio envolvente ou a alterações no ambiente de negócios da instituição; j) Risco de reputação: a probabilidade de ocorrência de impactos negativos nos resultados ou no capital, decorrentes de uma percepção negativa da imagem pública da instituição, fundamentada ou não, por parte de clientes, fornecedores, analistas financeiros, colaboradores, investidores, órgãos de imprensa ou pela opinião pública em geral. 5 - As instituições podem adoptar definições próprias de risco, desde que, no seu conjunto, abarquem todos os factores de risco associados às categorias enunciadas no n.º 3 ou, caso tais factores não se manifestem na actividade desenvolvida, a sua exclusão se encontre devidamente justificada. 6 - O sistema de gestão de riscos deve basear-se em processos de identificação, avaliação, acompanhamento e controlo de riscos, em conformidade com o disposto nos artigos 12.º a 15.º, os quais devem estar suportados em políticas e procedimentos apropriados e claramente definidos com vista a assegurar que os objectivos da instituição são atingidos e que são tomadas as acções necessárias para responder adequadamente aos riscos previamente identificados. 7 - O sistema de gestão de riscos deve ser devidamente planeado, revisto e documentado. Artigo 12.º Processo de identificação de riscos As instituições devem desenvolver, implementar e manter um processo de identificação dos factores, internos e externos, que, em relação a cada categoria de risco, possam afectar a sua capacidade para implementar a estratégia ou atingir os objectivos definidos, o qual deve, nomeadamente: a) Assentar em métodos e técnicas claramente definidos e abranger todos os produtos, actividades, processos e sistemas da instituição, de modo a permitir a identificação efectiva de todos os factores de risco de impacto material; b) Ser executado com uma periodicidade, no mínimo anual, que permita a identificação tempestiva de novos factores de risco e a revisão dos existentes; c) Permitir hierarquizar os riscos e identificar os activos, passivos e operações associados a esses riscos. 22