22.01.2025

Áreas de Prática: Financeiro

Atualizações regulamentares sobre Cultura Organizacional e Sistemas de Governo e Controlo Interno

Consulta Pública do Banco de Portugal n.º 6/2024 – Projetos regulamentares de alteração do Aviso n.º 3/2020 e da Instrução n.º 18/2020

 

Estiveram sob consulta pública até ao dia 31 de dezembro de 2024, os projetos regulamentares (os “Projetos”):

  • Projeto de aviso que visa alterar o Aviso do Banco de Portugal n.º 3/2020 (o “Projeto de Aviso”), que regulamenta os sistemas de governo e controlo interno e define os padrões mínimos em que deve assentar a cultura organizacional das entidades sujeitas à supervisão do Banco de Portugal;
  • Projeto de instrução que pretende alterar a Instrução n.º 18/2020 (o “Projeto de Instrução”), que regulamenta os deveres de reporte à autoridade de supervisão competente, em matérias de conduta e cultura organizacional e aos sistemas de governo e controlo interno.

A quem se aplica?

  • Instituições de crédito e sociedades financeiras com sede em Portugal;
  • Sucursais de instituições de crédito, de instituições financeiras e de empresas de investimento com sede em países que não sejam Estados-Membros da União Europeia;
  • Companhias financeiras, companhias financeiras mistas e sociedades gestoras de participações sociais sujeitas à supervisão do Banco de Portugal.

As alterações mais relevantes introduzidas pelos Projetos não constituem requisitos novos, mas sim a novas opções que as instituições supervisionadas podem, ou não, adotar, como:

  • A possibilidade de desdobramento da função de gestão de riscos em diferentes unidades de estrutura;
  • A possibilidade de combinação da função de gestão riscos e de conformidade e;
  • A possibilidade de subcontratação de tarefas operacionais de controlo interno de forma permanente, incluindo a possibilidade de recurso a soluções colaborativas.

Por outro lado, foram introduzidos novos requisitos em algumas matérias, com impacto nos processos, procedimentos e documentação interna das instituições.

Conteúdo das alterações:

  1. Governo interno, estrutura organizacional e planeamento estratégico

Novas Obrigações para Órgãos de Administração e Fiscalização

É agora obrigatório que os órgãos de administração e fiscalização aprovem regulamentos internos e implementem planos de formação próprios. As entidades abrangidas (com exceção de sucursais de instituições fora da UE) devem criar um órgão de fiscalização, ou nomear um fiscal único, num prazo de 12 meses após a entrada em vigor dos Projetos.

Órgão de Fiscalização

O órgão de fiscalização deve incluir no seu regulamento interno procedimentos claros para:

  • Receber as informações necessárias para o cumprimento das suas funções;
  • Estabelecer uma linha de reporte formal com definição de frequência mínima de interação com as funções de controlo interno.

Responsabilidades do Órgão de Administração

Compete ao órgão de administração garantir que o órgão de fiscalização dispõe de:

  • Informação adequada;
  • Recursos materiais, técnicos e humanos;
  • Acesso a serviços externos, caso necessário, para o desempenho eficaz das suas competências.

Atas de Reuniões

As atas das reuniões dos órgãos colegiais devem agora identificar os participantes e especificar quais os membros presentes em cada ponto da agenda.

  1. Controlo interno e gestão de riscos

O conceito de “deficiências” foi atualizado para incluir “incumprimentos”, substituindo o termo anterior “insuficiências”. As instituições passam a consolidar todas as deficiências e incumprimentos numa única base de dados, que deverá permanecer atualizada.

Atualizações nos Anexos dos Projetos de Instrução:

  • Anexo I: Atualiza as categorias e subcategorias de risco, com caráter indicativo para refletir a taxonomia de risco habitual;
  • Anexo II: Alinha-se com o novo conceito de deficiências, desenvolvendo a metodologia para a sua classificação.

Organização e Flexibilidade das Funções de Controlo

O modelo organizativo para funções de controlo interno é flexibilizado, permitindo adaptação às especificidades de cada instituição:

  • As funções de gestão de riscos podem ser desdobradas, desde que uma unidade mantenha uma visão global da totalidade dos riscos;
  • O desdobramento deve ser comunicado à autoridade de supervisão para avaliação prévia;
  • No caso de desdobramento, o relatório anual deve incluir uma apreciação crítica da interação entre as várias unidades de estrutura;
  • Os responsáveis das unidades são titulares de funções essenciais e todas as unidades reportam a um único administrador executivo.

As funções de controlo interno têm uma linha de reporte direta aos órgãos de administração, fiscalização e comités relacionados.

Cumulação de Funções de Gestão de Riscos e Conformidade

Para instituições habilitadas a receber depósitos com ativos inferiores a €3.000.000.000 e que não prestem serviços comuns, a gestão de riscos e conformidade pode ser acumulada, sujeita à aprovação prévia da autoridade de supervisão competente.

  • Caso os ativos, em base individual, ultrapassem o valor referido por dois anos consecutivos, esta acumulação deixa de ser permitida;
  • No caso de cumulação, a avaliação de independência deve incluir medidas para prevenir conflitos de interesse e uma ponderação da suficiência para garantir a independência da função combinada;
  • O órgão de administração deve incluir, no RAA, uma avaliação da manutenção da combinação das funções, em relação à natureza, âmbito e complexidade das atividades da instituição.

Dispensa da Função de Auditoria Interna

Agências de câmbio com menos de 30 colaboradores (sem contar com os membros dos órgãos de administração e fiscalização), e proveitos operacionais inferiores a €20.000.000 no último exercício podem ser dispensadas de manter a função de auditoria interna.

Requisitos para Relatórios Anuais de Controlo Interno

Os relatórios passam a incluir:

  • Avaliação da adequação da organização face aos riscos existentes e potenciais;
  • Avaliação da suficiência de recursos materiais, técnicos e humanos, incluindo a qualificação e formação dos seus colaboradores;
  • Grau de execução dos planos de atividades e identificação de áreas para melhoria.

Gestão de Deficiências e Prazo de Correção

Deficiências identificadas por ROCs, SROCs ou autoridades de supervisão devem ser registadas na base de dados atualizada, com prazos definidos para correção.

  1. Partes relacionadas e conflitos de interesses

Passa a ser admissível a aprovação agregada de transações com partes relacionadas, desde que sejam cumpridos os requisitos regulamentares aplicáveis.

Política de Transações com Partes Relacionadas

As políticas devem agora incluir:

  • Procedimentos:
  • Identificação de exposições individuais a partes relacionadas e respetivo montante total;
  • Cumprimento das obrigações associadas à concessão de crédito a detentores de participações qualificadas e membros de órgãos sociais;
  • Relato imediato de incumprimentos normativos, relativamente a transações com partes relacionadas, pelas funções de gestão de riscos e conformidade, acompanhado de recomendações para correção;
  • Comunicação à autoridade de supervisão competente.
  • Responsabilidades:
  • Diretores de topo das unidades de estrutura relevantes devem monitorizar estas operações e reportar trimestralmente às funções de gestão de risco, conformidade e aos órgãos de administração e fiscalização.

Declaração no Relatório Anual de Autoavaliação (RAA)

O RAA deve incluir uma declaração expressa das funções de gestão de risco e de conformidade, confirmando que todas as transações com partes relacionadas:

  • Estão alinhadas com o perfil de risco da instituição;
  • Cumprem a legislação, regulamentação aplicável e a política interna de transações com partes relacionadas.
  1. Prazos para Análise de Denúncias

A política de participação de irregularidades deve agora prever um prazo razoável, não superior a três meses, para a conclusão do procedimento de análise de denúncias, sejam estas anónimas ou identificadas. Prorrogações são permitidas, mas apenas se devidamente justificadas.

  1. Subcontratação

Eliminação do Requisito de Ocasionalidade

Agora é permitido às instituições subcontratar tarefas operacionais das funções de controlo interno de forma permanente, seja:

  • Dentro do mesmo grupo financeiro; ou
  • Através de prestadores externos à instituição ou ao grupo a que pertença.

Subcontratação Integral de Funções de Controlo Interno

  • Permitida apenas para a função de auditoria interna em entidades não habilitadas a receber depósitos;
  • Subcontratações envolvendo prestadores fora do grupo requerem identificação prévia de potenciais conflitos de interesses, bem como medidas adequadas para a sua gestão e mitigação.
  • Comunicação à Autoridade de Supervisão

A intenção de adotar soluções colaborativas deve ser comunicada previamente à autoridade de supervisão competente, que poderá pronunciar-se antes da implementação.

  1. Seleção e designação do Revisor Oficial de Contas (“ROC”) ou Sociedades de Revisores Oficiais de Contas (“SROC”)

Inclusão de Requisitos de Reporte

As instituições habilitadas a receber depósitos passam a ter a obrigação de reportar as alterações de ROC ou SROC.

Política de Seleção e Designação

As instituições devem ajustar a sua política de seleção e designação de ROC ou SROC, incluindo procedimentos específicos para assegurar o cumprimento desta nova obrigação de reporte.

  1. Políticas e práticas remuneratórias e avaliação de desempenho

Identificação de Colaboradores de Risco Significativo

Foram esclarecidos os procedimentos para identificar colaboradores com impacto relevante no perfil de risco das instituições e o seu reporte à autoridade de supervisão competente.

O prazo para envio deste reporte foi alterado de 31 de dezembro para 31 de janeiro, concedendo mais tempo às instituições para preparar os dados relativos ao ano anterior.

Novo Formato de Reporte

  • Foi introduzido um anexo ao Projeto de Instrução que define o formato do reporte.
  • O envio deve ser realizado através do BPnet, em formato editável.
  1. Autoavaliação

Alterações nos Prazos de Referência e Reporte

  • Período de referência: Alterado de 30 de novembro para 30 de setembro.
  • Prazo de reporte: Passa de 31 de dezembro para 15 de novembro.

Integração de Avaliações Externas

As avaliações dos órgãos de administração e fiscalização devem incluir os resultados de avaliações externas independentes.

Recurso a Serviços Externos

O órgão de fiscalização deverá recorrer a serviços externos (ROC/SROC ou auditores/consultores) pelo menos uma vez por mandato, abrangendo todas as matérias necessárias à sua avaliação.

Deficiências Identificadas

O relatório deve incluir informações sobre deficiências identificadas e corrigidas, permitindo que a autoridade supervisora as valorize na avaliação do risco de governo interno.

Gestão de Riscos de TIC

O relatório sobre gestão de riscos associados às tecnologias de informação e comunicação (TIC) deverá ser submetido anualmente como anexo ao RAA.

Relatórios em Grupos Financeiros

  • Apenas o relatório do grupo, elaborado pela empresa-mãe, será reportado à autoridade de supervisão competente, apesar de ainda serem elaborados RAAs individuais das filiais;
  • Alguns dos documentos que fazem parte do RAA são simplificados, como nos casos de recurso ao regime de serviços comuns para o exercício de funções de controlo interno de entidades do grupo;
  • É reforçado que a perspetiva a considerar nos RAA e documentos integrantes, é a do grupo financeiro.

Requisitos para Entidades Não Habilitadas a Receber Depósitos

Estas entidades devem reportar informações sobre deficiências, mesmo sem solicitação prévia da autoridade supervisora.

  1. Conglomerados Financeiros

Gestão de Risco e Controlo Interno

Agora é obrigatório incorporar os processos de gestão de risco e mecanismos de controlo interno ao nível do conglomerado financeiro, garantindo uma abordagem integrada e holística.

Prazo de Adaptação

As instituições dispõem de 6 meses, a contar da entrada em vigor dos Projetos, para implementar as alterações exigidas.

Reiteramos que os Projetos estiveram sob consulta pública até ao dia 31 de dezembro de 2024. A equipa APDFin da Abreu Advogados assessora as entidades abrangidas pela referida regulamentação e encontra-se disponível para acompanhar a participação de qualquer entidade interessada na consulta pública.

Thinking about tomorrow? Let's talk today.

Conhecimento