Tags: Legal |

Aviso n.º 3/2020 e Instrução n.º 18/2020 do Banco de Portugal: A Arte do Governo Interno! (2ª parte)


No nosso artigo anterior, debruçámo-nos sobre (i) a organização do Aviso e da Instrução do BdP e do Projeto de Regulamento da CMVM; (ii) os destaques gerais desses diplomas e (iii) alguns dos destaques específicos do Aviso e da Instrução do BdP e do Projeto de Regulamento da CMVM.

No presente artigo continuaremos a apresentar alguns dos destaques específicos desses diplomas, designadamente (i) os requisitos principais do sistema de controlo interno e gestão de riscos; (ii) os requisitos principais relativos a partes relacionadas e conflitos de interesses; (iii) os requisitos principais de participação de irregularidades; (iv) os requisitos principais de subcontratação; (v) os requisitos principais de seleção e designação do ROC ou da SROC e contratação de serviços distintos de auditoria não proibidos; (vi) os requisitos principais de políticas e práticas remuneratórias; e (vii) os requisitos principais aplicáveis aos grupos financeiros.

Requisitos relativos ao sistema de controlo interno e gestão de riscos

Como já era expectável, o Aviso do BdP dedica a maior parte dos seus artigos ao sistema de controlo interno e gestão de riscos, sendo que a maior parte se encontra em linha com os requisitos já preconizados nas EBA/GL/2017/11[1] e noutras peças regulamentares, que identificamos infra. Neste ponto, tendo em conta que o Projeto de Regulamento da CMVM aplica o mesmo reporte do Aviso do BdP às instituições supervisionadas conjuntamente pelo BdP e pela CMVM, as alterações do Aviso do BdP aplicam-se diretamente a tais instituições. O Projeto de Regulamento da CMVM acompanha ainda algumas das alterações melhor referidas abaixo para as entidades supervisionadas exclusivamente por si.

Destacamos os seguintes requisitos:

  1. Novidade face ao texto em consulta pública, o conceito de deficiência passa a ser mais abrangente no seu escopo: “o conceito de deficiências é entendido como o conjunto das insuficiências, potenciais ou efetivas, ou das oportunidades de introdução de melhorias que permitam fortalecer o sistema de controlo interno, a cultura organizacional e os sistemas de gestão de riscos, de governo e controlo interno relativamente a todas as matérias abrangidas pelo presente Aviso, incluindo as políticas e práticas remuneratórias”;
  2. Para além do acesso a que as funções de controlo interno (segunda e terceira linhas de defesa) já tinham, sendo este total, livre e incondicionado (a todas as informações, funções, atividades, incluindo as atividades subcontratadas, instalações, bens e colaboradores, registos contabilísticos, sistemas, ficheiros informáticos e dados da instituição), o presente Aviso do BdP especifica que as mesmas passam também a dispor de acesso direto aos órgãos de administração e de fiscalização e aos comités de apoio àqueles órgãos, quando constituídos, por sua iniciativa ou por iniciativa de qualquer membro destes órgãos;
  3. O órgão de fiscalização passa a participar no processo de avaliação de desempenho das funções de controlo interno e dos respetivos responsáveis;
  4. O órgão de administração passa a ser responsável por assegurar a existência de uma unidade de estrutura que tenha uma visão global de todos os riscos a que a instituição está ou pode vir a estar exposta. Sem prejuízo do Aviso do BdP atribuir esta responsabilidade à função de gestão de riscos, das interações havidas com o BdP, concluímos que a mesma poderá também ser atribuída à função de conformidade, à função de auditoria interna ou, até, uma outra função criada para o efeito, que deverá ser enquadrada ao nível de uma segunda linha de defesa e cumprir com os requisitos que lhes são aplicáveis;
  5. Para garantir que os objetivos definidos no âmbito do processo de controlo dos riscos são atingidos e que são tomadas as ações necessárias para responder adequadamente aos riscos previamente identificados, o órgão de administração é responsável por (i) aprovar e rever uma política sistematizada que estabeleça os objetivos globais da instituição e os objetivos específicos para cada unidade de estrutura, no que respeita ao perfil de risco e ao nível de tolerância ao risco, a qual deve ser revista com uma periodicidade mínima anual; (ii) estabelecer políticas e procedimentos eficazes e adequados, para a identificação, avaliação, acompanhamento e controlo dos riscos a que a instituição está ou pode vir a estar exposta, assegurando a sua adequada implementação e cumprimento, que visem alcançar os objetivos definidos e que sistematizem, de forma clara e objetiva, quais as tarefas que deverão ser desempenhadas por cada função e como deverão ser executadas, o que parece tratar-se de uma novidade face ao Aviso do BdP n.º 5/2008, que previa estas políticas e procedimentos, mas não definia claramente que era o órgão de administração o responsável pela sua definição, aprovação e revisão, o que, mais uma vez, reforça o tom do topo;
  6. Passa a ser expressamente previsto que as funções de controlo interno são sempre os titulares das deficiências relevantes detetadas e que são responsáveis pelo seu acompanhamento e pela monitorização das medidas que visam a sua correção;
  7. As instituições passam a ter de dispor de uma base de dados que permita o acompanhamento permanente das deficiências relevantes;
  8. Passa a estar expressamente previsto que as instituições implementam mecanismos de controlo, com intervenção das funções de controlo interno (no âmbito das respetivas competências), no que toca aos processos de produção e tratamento de informação, de forma a assegurar que a informação produzida pela instituição é fiável, completa e consistente;
  9. As responsabilidades dos órgãos de administração e de fiscalização quanto a esta matéria são densificadas e clarificadas. Por exemplo, o Aviso do BdP atribui expressamente responsabilidades ao órgão de fiscalização quanto à fiabilidade, completude e consistência de toda a informação produzida pela instituição, incluindo a informação constante dos reportes prudenciais e financeiros a efetuar às respetivas autoridades de supervisão;
  10. A função de conformidade passa a ter a obrigações, em linha com o já preconizado noutras peças regulamentares, (i) na definição das políticas e procedimentos no âmbito do código de conduta, da política de conflito de interesses e da política de transações com partes relacionadas e no acompanhamento da aplicação desses procedimentos, bem como (ii) no processo de governação de produtos, em linha com as EBA/GL/2015/18[2], da Lei n.º 35/2018[3], de 20 de julho, que transpõe a MiFID II[4] e com a Lei n.º 7/2019[5], de 16 de janeiro, que transpõe a IDD[6];
  11. A função de conformidade passa a ter a obrigação de efetuar testes de conformidade com as disposições legais e regulamentares, através de um programa próprio e estruturado de verificação do cumprimento, regularmente revisto e adaptado aos processos com maior risco de conformidade;
  12. O órgão de administração passa a ter de assegurar a efetiva implementação das medidas destinadas à correção de quaisquer deficiências detetadas ou que visem a introdução de melhorias na cultura organizacional e nos sistemas de governo e controlo interno da instituição, bem como das medidas destinadas a corrigir as situações ou constrangimentos que afetam ou possam a vir afetar significativamente a independência das funções de controlo interno;
  13. A primeira linha de defesa passa a ter um artigo específico a si dedicado que reforça, dessa forma, a sua importância no âmbito do sistema de gestão dos riscos da instituição, sendo agora responsável por assegurar que todos os riscos assumidos são reportados às funções de controlo interno relevantes, não sendo, não obstante, clarificados de qual forma deverão ser implementados esses reportes;
  14. A decisão de exclusão de determinadas categorias de risco identificadas na legislação, regulamentação e orientações aplicáveis, pelo facto de os fatores de risco subjacentes não se manifestarem na atividade desenvolvida, passa a ter de ser devidamente justificada pela função de gestão de riscos e aprovada pelo órgão de administração, sendo objeto de apreciação pelo órgão de fiscalização.

Requisitos principais relativos a partes relacionadas e conflitos de interesses

O Aviso do BdP n.º 5/2008 apenas alertava para a necessidade de a instituição identificar e acompanhar operações com partes relacionadas, bem como assegurar procedimentos que reduzissem o risco de ocorrência de conflitos de interesses.

O novo Aviso do BdP, para além de consagrar um conceito de parte relacionada, que segue já o conceito previsto na CRD V[7], passa a prever, em linha com as EBA/GL/2017/11, que:

  1. As instituições têm o dever de dispor de uma política sobre transações com partes relacionadas e de identificar as suas partes relacionadas numa lista que tem de ser atualizada pelo menos trimestralmente;
  2. Existem algumas entidades equiparadas a partes relacionadas, em linha com o defendido na Parte III do Livro Branco sobre a Regulação e Supervisão do Sistema Financeiro, publicado pelo BdP;
  3. As transações que envolvam partes relacionadas (ou equiparadas) devem ser celebradas em condições de mercado e aprovadas por um mínimo de dois terços dos membros do órgão de administração, após parecer prévio do órgão de fiscalização e das funções de gestão de riscos e de conformidade.

No âmbito das liberalidades e da sua admissibilidade/inadmissibilidade, o texto do Aviso do BdP apresenta uma novidade quanto ao texto do projeto, a saber: a necessidade de comunicação imediata, à função de conformidade, de todas e quaisquer ofertas e outros benefícios ou recompensas, para análise, decisão quanto à forma de atuação e correspondente registo.

Requisitos principais de participação de irregularidades

Tendo já em consideração o disposto na Diretiva (UE) 2019/1937[8] e no atual artigo 116.º-AA do RGICSF[9], o presente Aviso do BdP prevê que:

  1. As instituições devem implementar uma política de participação de irregularidades, de forma a aplicar o disposto no artigo 116.º-AA do RGICSF, sendo também definido um conteúdo mínimo para a referida política;
  2. As instituições devem implementar um procedimento autónomo de participação de irregularidades que garanta a confidencialidade da identidade do denunciante e de terceiros mencionados na participação.

Importa, por fim, referir que o conteúdo mínimo do relatório anual previsto no n.º 7 do artigo 116.º-AA do RGICSF foi definido na Instrução do BdP em análise.

Requisitos principais de subcontratação

Sem apresentar novidades de destaque face ao já preconizado noutras fontes legislativas, em especial nas EBA/GL/2017/11 e nas EBA/GL/2019/02[10], divulgadas através da Carta-Circular do BdP n.º CC/2019/00000065[11], o Aviso do BdP específica que:

  1. As instituições apenas podem proceder à subcontratação ocasional de tarefas operacionais específicas das funções de controlo interno, na medida em que essa subcontratação não tenha impacto negativo na eficiência do sistema de controlo interno;
  2. A entidade prestadora do serviço não poderá encontrar-se estabelecida em jurisdição com um regime legal que preveja proibições ou restrições que impeçam ou limitem o cumprimento, pela instituição, das normas legais e regulamentares que regem a respetiva atividade, incluindo no que respeita a obtenção e partilha de informação com as autoridades de supervisão competentes;
  3. A subcontratação deverá contemplada numa política da instituição e a subcontratação de tarefas operacionais deverá ser objeto de avaliação e monitorização contínuas;
  4. No capítulo dedicado aos grupos financeiros, consagra-se ainda a possibilidade de as instituições, quando façam parte de um grupo financeiro, poderem estabelecer serviços comuns para o desenvolvimento das responsabilidades atribuídas às funções de gestão de riscos, de conformidade e de auditoria interna;
  5. Novidade face ao texto em consulta pública, o Aviso do BdP especifica que a subcontratação ocasional referida acima terá de ter o prévio consentimento dos órgãos de administração e de fiscalização.

Requisitos principais de seleção e designação do ROC ou de SROC e contratação de serviços distintos de auditoria não proibidos

Novidade absoluta face a toda a legislação nacional e europeia, o Aviso do BdP, com o objetivo declarado de reforçar as condições para que os auditores externos executem o seu trabalho com independência, isenção e imparcialidade, consagra a obrigatoriedade de as entidades supervisionadas adotarem políticas de seleção e designação de ROC ou de SROC, com um conteúdo mínimo definido e estanque.

Estabelece ainda que essa política deverá ser aprovada pela assembleia geral após parecer prévio favorável do órgão de fiscalização.

Tendo em conta o exposto acima, as Instituições deverão elaborar e aprovar uma política de seleção e designação do ROC ou da SROC e de contratação de serviços distintos de auditoria não proibidos.

Requisitos principais de políticas e práticas remuneratórias

Em linha com as EBA/GL/2015/22[12], divulgadas através da Carta-Circular do BdP n.º CC/2016/00000036[13], o Aviso do BdP especifica normas complementares às constantes do RGICSF, e que são relevantes para a sua implementação prática pelas entidades supervisionadas. Algumas dessas normas constavam já do Aviso n.º 10/2011 que é, dessa forma, revogado.

Destacamos a especificação no Aviso do BdP das regras sobre o processo de identificação de colaboradores e de avaliação de desempenho e que o comité de remunerações é constituído por uma maioria de membros independentes, na aceção do n.º 5 do artigo 414.º do CSC[14].

Por último, destacamos a obrigação dos resultados da avaliação centralizada e independente, de periodicidade anual, prevista no n.º 6 do artigo 115.º-C do RGICSF, passarem a ter de constar de um relatório próprio que:

  1. Inclui as medidas necessárias para corrigir eventuais deficiências detetadas;
  2. É apresentado à assembleia geral da instituição, ao órgão de fiscalização e ao órgão de administração, o qual deve assegurar a implementação dessas medidas pelos órgãos ou pelas outras unidades de estrutura responsáveis.

Esse relatório deverá ser disponibilizado, de imediato, à autoridade de supervisão competente sempre que solicitado.

Requisitos principais aplicáveis aos grupos financeiros

Em linha com o que já se encontrava previsto no Aviso do BdP n.º 5/2008, o presente Aviso do BdP consagra a possibilidade de as instituições, quando façam parte de um grupo financeiro, poderem estabelecer serviços comuns para o desenvolvimento das responsabilidades atribuídas às funções de gestão de riscos, de conformidade e de auditoria interna.

Passa a estar expressamente previsto que a entidade prestadora do serviço comum não pode estar estabelecida em jurisdição com um regime legal que impeça ou limite o cumprimento, pela instituição, das normas legais e regulamentares que regem a sua atividade, incluindo ao nível da prestação e circulação de informação.

Tendo em conta alguns dos comentários da consulta pública, que referiam a importância de uma maior transparência nos requisitos quanto à especificação dos poderes que as funções de controlo interno da empresa-mãe deverão possuir de modo a assegurar o cumprimento adequado e pontual das responsabilidades das funções de controlo das filiais e, consequentemente, assegurar o controlo efetivo sobre estas últimas, bem como quanto à especificação do papel das funções de controlo interno da empresa-mãe no processo de substituição e nomeação dos responsáveis pelas funções de controlo das filiais, o texto atual do Aviso do BdP prevê que:

  1. As funções de controlo interno da empresa-mãe e das filiais interagem entre si, de forma a assegurar que as funções de controlo interno da empresa-mãe dispõem da informação necessária para o cabal desempenho das suas responsabilidades;
  2. O órgão de administração da empresa-mãe assegura a existência de linhas de reporte diretas entre as funções de controlo interno das filiais e as funções de controlo interno da empresa-mãe;
  3. O órgão de administração da empresa-mãe assegura que os procedimentos estabelecidos permitem às funções de gestão de riscos, de conformidade e de auditoria interna da empresa-mãe monitorizar o cumprimento adequado e tempestivo das responsabilidades das funções de gestão de riscos, de conformidade e de auditoria interna das filiais do grupo;
  4. A assunção de riscos significativos numa filial do grupo é objeto de comunicação prévia à função de gestão de riscos da empresa-mãe e, quando esteja em causa a assunção de riscos de conformidade, também à função de conformidade, na qual são identificados e adequadamente avaliados os riscos reais ou potenciais da mesma para a filial em questão e para o grupo;
  5. Os planos de atividades das funções de controlo interno de uma filial são objeto de comunicação prévia às funções de controlo interno respetivas da empresa-mãe, o mesmo sucedendo quanto ao plano plurianual de ações de auditoria da função de auditoria interna de uma filial;
  6. Quando a empresa-mãe corresponda a uma instituição de crédito, a substituição dos responsáveis pelas funções de controlo interno das filiais é objeto de comunicação prévia ao responsável da função de controlo interno respetiva da empresa-mãe.

Na terceira parte do nosso artigo terminaremos de apresentar os destaques específicos dos diplomas que em análise, designadamente (i) os requisitos principais relativos à autoavaliação; e (ii) os requisitos principais aplicáveis à documentação, sistematização de informação e divulgação de informação ao público; No final, identificaremos (i) os documentos internos que carecem de elaboração ou de revisão; (ii) os novos prazos de reporte e (vi) as nossas conclusões.

Agradecemos toda a atenção que dispensaram à segunda parte do nosso artigo e esperamos que tenham a possibilidade de ler a terceira e última parte do mesmo.

(O presente artigo é assinado por Roberto Bilro Mendes e Jacqueline Fernandes do Departamento de Financial Services Risk & Regulation da PwC. O presente artigo reflete a opinião pessoal dos seus autores.) Leia em breve a terceira e últim parte deste artigo, em https://pt.fundspeople.com/

 


[1] Orientações da EBA sobre governo interno, de 21 de março de 2018.

[2] Orientações da EBA relativas aos procedimentos de governação e monitorização de produtos bancários de retalho, de 22 de março de 2016.

[3] Lei n.º 35/2018, de 20 de julho, que procede à alteração das regras de comercialização de produtos financeiros e de organização dos intermediários financeiros e transpõe as Diretivas 2014/65/UE, (UE) 2016/1034 e (UE) 2017/593.

[4] Diretiva 2014/65/UE, do Parlamento Europeu e do Conselho, de 15 de maio de 2014, relativa aos mercados de instrumentos financeiros e que altera a Diretiva 2002/92/CE e a Diretiva 2011/61/UE.

[5] Lei n.º 7/2019, de 16 de janeiro, que aprova o regime jurídico da distribuição de seguros e de resseguros, transpondo a Diretiva (UE) 2016/97, altera a Lei n.º 147/2015, de 9 de setembro, que aprova o regime jurídico de acesso e exercício da atividade seguradora e resseguradora, bem como o regime processual aplicável aos crimes especiais do setor segurador e dos fundos de pensões e às contraordenações cujo processamento compete à Autoridade de Supervisão de Seguros e Fundos de Pensões, e revoga o Decreto-Lei n.º 144/2006, de 31 de julho.

[6] Diretiva (UE) 2016/97, do Parlamento Europeu e do Conselho, de 20 de janeiro de 2016, sobre a distribuição de seguros (reformulação).

[7] Diretiva (UE) 2019/878, do Parlamento Europeu e do Conselho, de 20 de maio de 2019, que altera a Diretiva 2013/36/UE no que se refere às entidades isentas, às companhias financeiras, às companhias financeiras mistas, à remuneração, às medidas e poderes de supervisão e às medidas de conservação dos fundos próprios.

[8] Diretiva (UE) 2019/1937, do Parlamento Europeu e do Conselho, de 23 de outubro de 2019, relativa à proteção das pessoas que denunciam violações do direito da União;

[9] Decreto-Lei n.º 298/92, de 31 de dezembro, que aprova o Regime Geral das Instituições de Crédito e Sociedades Financeiras.

[10] Orientações da EBA relativas à subcontratação, de 29 de fevereiro de 2019.

[11] Carta Circular n.º CC/2019/00000065, de 15 de outubro de 2019, que comunica que as instituições de crédito, empresas de investimento, instituições de pagamento e instituições de moeda eletrónica sujeitas à supervisão do Banco de Portugal devem, a partir de 31 de maio de 2020, observar os requisitos previstos nas "Orientações relativas à subcontratação" (EBA/GL/2019/02), que contém um conjunto alargado de orientações e recomendações relacionados com a implementação de mecanismos e processos em matéria de gestão de funções subcontratadas, com vista a robustecer e harmonizar as práticas de subcontratação das entidades destinatárias.

[12] Orientações da EBA relativas a políticas de remuneração sãs, nos termos dos artigos 74.º, n.º 3, e 75.º, n.º 2, da Diretiva 2013/36/UE, e à divulgação de informações, nos termos do artigo 450.º do Regulamento (UE) 575/2013, de 27 de junho de 2016.

[13] Carta Circular n.º CC/2016/00000080, de 11 de novembro de 2016, que remete as especificações técnicas e modelos de reporte a observar na comunicação ao Banco de Portugal das operações de transferência para jurisdições offshore previstas no Aviso do Banco de Portugal nº 8/2016.

[14] Decreto-Lei n.º 262/86, de 2 de setembro, que aprova o Código das Sociedades Comerciais.

Profissionais
Empresas

Notícias relacionadas

Anterior 1 2 Siguiente

O Mais Lido