Alterações na seleção e controlo da auditoria externa em entidades financeiras

O Aviso n.º 3/2020 do Banco de Portugal veio proceder a uma das mais relevantes intervenções na regulação do Governo Interno das Instituições de Crédito e Sociedades Financeiras dos últimos tempos.

O Aviso entrou em vigor a 16 de Julho de 2020 e as Instituições contam com um prazo de seis meses desde a sua entrada em vigor para se adaptar às suas disposições, prazo esse que termina a 16 de janeiro de 2021.

O Aviso 3/2020 regula a cultura organizacional, governo interno, sistema de controlo interno e políticas e práticas remuneratórias das instituições destinatárias, procedendo à revogação dos Avisos do Banco de Portugal n.º 5/2008 e n.º 10/2011, bem como à revogação da Instrução do Banco de Portugal n.º 20/2008. É complementado pela Instrução do Banco de Portugal n.º 18/2020, que versa sobre os reportes a efetuar à autoridade de supervisão competente relativamente às matérias tratadas no Aviso.

O Aviso destina-se às Instituições de crédito e sociedades financeiras com sede em Portugal, às Sucursais de instituições de crédito, de instituições financeiras e de empresas de investimento com sede em países que não sejam Estados-Membros da União Europeia e às Sociedades gestoras de participações sociais sujeitas à supervisão do Banco de Portugal.

Quanto às suas áreas temáticas, reparte as responsabilidades pelo sistema de governo societário em matéria de governo e controlo interno e trata, entre outros temas, da (i) cultura organizacional, (ii) da estrutura organizacional, (iii) do sistema de controlo interno, incluindo função de gestão do riscos, compliance e auditoria, da regulação de conflitos de interesses, (iv) das políticas de seleção e designação de auditores externos, das políticas e práticas remuneratórias, (v) da subcontratação (outsourcing) de algumas funções essenciais e (vi) da sistematização de informação e divulgação ao público.

O Governo Interno é um dos pilares do processo de análise e avaliação pelo supervisor instituído pelo artigo 97º da CRD IV, que implica que as autoridades de supervisão procedam à revisão das disposições, as estratégias, os processos e os mecanismos aplicados pelas instituições de crédito para dar cumprimento à própria Diretiva e ao Regulamento (UE) n.º 575/2013. O processo de análise e avaliação é conduzido anualmente pelo Banco Central Europeu em conjunto com o Banco de Portugal e segue as orientações da EBA e as metodologias do SREP Methodology Booklet do Mecanismo Único de Supervisão.

A estruturação concreta da matéria visada no Aviso 3/2020 vai ter uma repercussão muito direta em matéria de requisitos de capital a que as instituições ficam sujeitas.

Destaca-se no Aviso 3/2020 a densificação do tema da cultura organizacional — incidindo especialmente na regulação dos códigos de conduta e a importância do “tone from the top” —, muito justificada pela influência decisiva que tem sobre a forma como as entidades supervisionadas gerem a sua atividade. Sublinha-se, ainda, o destaque dado aos órgãos e agentes da Instituição com funções de supervisão, como sejam o órgão de fiscalização ou os administradores não executivos.

A principal novidade quanto ao controlo interno, reside na consagração quanto a Instituições Significativas, que a adequação para o exercício das respetivas funções dos responsáveis pelas funções de gestão de riscos, conformidade e auditoria interna, seja objeto de avaliação e autorização pela autoridade de supervisão competente, em momento anterior à sua entrada em funções, aproximando este regime do processo de fit and proper existente para os titulares dos órgãos sociais.

Acresce a isto a clarificação do sistema de três linhas de defesa que, tal como as orientações da EBA sobre governo interno (EBA/GL/2017/11), tem por base o modelo das três linhas de defesa do Institute of Internal Auditors. Assim, faz-se uma repartição de diferentes responsabilidades em matéria de governo e gestão dos riscos pelas diferentes funções:

• As unidades geradoras de negócio e áreas conexas, que geram risco para a instituição e que são as primeiras responsáveis pela identificação, avaliação, acompanhamento e controlo dos riscos em que incorrem;
• As funções de suporte e de controlo que incluem, nomeadamente, as funções de gestão de riscos e de conformidade, as quais interagem com as funções do ponto anterior;
• A função de auditoria interna, que realiza análises independentes e orientadas

Tendo presente estas três linhas de defesa, as entidades supervisionadas devem atender às suas especificidades ao desenvolver os seus sistemas de controlo interno, podendo, por exemplo, desdobrar as linhas de defesa em diversas funções dentro da entidade supervisionada para o risco.

Também quanto a estas funções, o Aviso estabelece requisitos para garantir a sua independência organizacional em linha com o que sucedia no Aviso 5/2008. Deste modo, estas funções devem ser estabelecidas em unidades de estrutura distintas das unidades que monitorizam. Destaca-se igualmente a obrigatoriedade das funções de controlo interno disporem de acesso direto aos órgãos de administração e de fiscalização e aos comités de apoio àqueles órgãos quando constituídos.

O Aviso cria igualmente regras relativas à obrigatoriedade de Instituições adotarem políticas de seleção e designação de revisores oficiais de contas ou sociedades de revisores oficiais de contas, de modo a reforçar as condições de acesso aos auditores externos.

No que concerne à produção, tratamento e reporte de informação pelas instituições, aproveitou-se a oportunidade para atualizar o normativo legal já estabelecido, sendo impostas regras novas, nomeadamente elaboração de políticas para este efeito.

Em linha com estas obrigações, as Instituições estão obrigadas a realizar uma autoavaliação da adequação e eficácia da sua cultura organizacional e dos seus sistemas de governo e controlo interno. Esta autoavaliação é vertida num relatório anual. Relativamente ao conteúdo destas avaliações, destaca-se que são revistas e clarificadas as exigências que recaem sobre o órgão de fiscalização quanto a esta matéria, passando estas avaliações a abranger a cultura organizacional e os sistemas de governo e de controlo interno.

No que respeita a políticas e práticas remuneratórias, e também em linha com as orientações da EBA relativas a políticas de remuneração sãs, divulgadas através da Carta Circular do Banco de Portugal n.º CC/2016/00000036, estabelecem-se no presente Aviso normas complementares às constantes do Regime Geral das Instituições de Crédito e Sociedades Financeiras, e que são relevantes para a sua implementação prática pelas entidades supervisionadas, nomeadamente no que concerne remuneração dos membros não executivos do órgão de administração e dos membros do órgão de fiscalização, à Política de remuneração e ao Comité de Remunerações.

O Aviso consagra também a obrigatoriedade de as entidades supervisionadas manterem, nomeadamente, um adequado arquivo documental, assegurando que a documentação permite conhecer inequivocamente a fundamentação das decisões tomadas e os respetivos intervenientes.

Por sua vez, a Instrução n.º 18/2020 vem regulamentar os deveres de reporte à autoridade de supervisão competente que impendem sobre as entidades abrangidas pelo Aviso do Banco de Portugal n.º 3/2020, respeitante à conduta e cultura organizacional e aos sistemas de governo e controlo interno.

Ficam assim estabelecidas as regras relativas a:

• Reporte dos relatórios de autoavaliação da adequação e eficácia da cultura organizacional e dos sistemas de governo e de controlo interno, e respetivos anexos, à autoridade de supervisão competente;
• Conteúdo e reporte, à autoridade de supervisão competente, do relatório previsto pelo n.º 7 artigo 116.º-AA do Regime Geral das Instituições de Crédito e Sociedades Financeiras;
• Conteúdo e reporte do universo de colaboradores que têm impacto material no perfil de risco da instituição;
• Reporte relativo ao processo de aprovação de um nível máximo mais elevado da componente variável da remuneração, previsto no n.º 5 do artigo 115.º-F do Regime Geral das Instituições de Crédito e Sociedades Financeiras;

Por fim, desenvolve as categorias de riscos que devem ser tidas em consideração pelas entidades abrangidas pelo Aviso do Banco de Portugal n.º 3/2020 para efeitos de identificação, avaliação, acompanhamento e controlo dos riscos a que estão ou podem vir a estar expostas.