RISCO CORPORATIVO , CONTROLES INTERNOS, AUDITORIA INTERNA E COMPLIANCE - CAP 8

Prévia do material em texto

1
RISCO CORPORATIVO , CONTROLES INTERNOS, 
AUDITORIA INTERNA E COMPLIANCE
CAP.8
ÍNDICE
CAPÍTULO 8 –RISCO CORPORATIVO , CONTROLES INTERNOS, AUDITORIA INTERNA E COMPLIANCE
8.1 - Gerenciamento do Risco Corporativo e Controles Internos – O Modelo das Três Linhas................4
8.2 - Papel da Auditoria Interna.........................................................................................................................................10
8.3 - Compliance com as Normas.....................................................................................................................................13
Expediente..................................................................................................................................................................................17
2
APRESENTAÇÃO DO CAPÍTULO
O objetivo deste capítulo é apresentar os principais conceitos e procedimentos relativos 
às atividades de gerenciamento de riscos corporativos e controles internos, bem como 
as normas que devem ser atendidas pela instituição em relação a diversos temas e áreas 
(lavagem de dinheiro, cadastro, execução de operações, por exemplo).
Neste capítulo, você verá:
- O modelo das três linhas de defesa para gerenciamento do risco corporativo e controles 
internos, que sistematiza a governança da estrutura de controles internos na organização.
- O arcabouço do Coso para o desenvolvimento de sistemas de controles internos que 
viabilizam o alcance dos objetivos da organização por meio de uma melhor compreensão dos 
riscos aos quais está sujeita a organização e da identificação de formas de mitigá-los. O Coso 
é uma entidade privada independente sem fins lucrativos, dedicada à melhoria dos relatórios 
financeiros através da ética, efetividade dos controles internos e governança corporativa.
- A base legal que rege, no Brasil, as atividades de gerenciamento de riscos e controles 
internos. Serão apresentadas as principais normas do Bacen para controles internos, risco de 
mercado, risco operacional, risco de crédito e risco de liquidez. 
- O papel da auditoria interna nas organizações. 
- As principais normas aplicáveis às instituições participantes da B3 em diferentes processos, 
tais como cadastro, custódia de ativos, suitability, prevenção à lavagem de dinheiro e 
gerenciamento de riscos.
O Anexo a este capítulo traz as principais referências normativas para os mercados 
administrados pela B3. 
3
8.1 – GERENCIAMENTO DO RISCO CORPORATIVO 
E CONTROLES INTERNOS – O MODELO DAS TRÊS 
LINHAS
Os profissionais das áreas de risco, controles internos e compliance tem se mostrado cada 
vez mais valiosos para as organizações gerenciarem os riscos de suas atividades, tendo em 
vista os objetivos estratégicos traçados e a necessidade dos dirigentes de tomar decisões 
bem fundamentadas e abrangentes sobre o nível de risco que estão dispostos a assumir 
para o desenvolvimento do seu negócio.
No entanto a simples existência de atividades relacionadas à mensuração de riscos e 
controles não assegura que a estrutura de gerenciamento do risco corporativo e controles 
internos seja eficiente. É fundamental que as iniciativas sejam coordenadas de forma a 
evitar lacunas de controles ou redundância de esforços. Por essa razão, a governança da 
estrutura de gerenciamento do risco corporativo e controles internos é essencial para 
garantir uma abordagem coesa e coordenada do tema. É importante enfatizar que a 
visão de risco corporativo envolve todas as áreas da instituição e abarca riscos de diversas 
naturezas. É comum que, ao falarmos de risco no âmbito do mercado de capitais, pensemos 
prioritariamente em riscos financeiros, mas a abordagem de risco corporativo é muito 
mais ampla e trata de qualquer risco que possa afetar o desempenho da instituição, como 
veremos ao longo deste capítulo. 
O modelo das três linhas de defesa é uma forma simples de promover a eficácia do 
gerenciamento de riscos e controle na medida em que esclarece as responsabilidades 
essenciais. O modelo é aplicável a qualquer organização independentemente de seu 
tamanho e complexidade.
O modelo das três linhas de defesa preconiza que o desenvolvimento e a implementação 
de atividades de controles internos são responsabilidades de todos os integrantes da 
organização: desde o funcionário que está envolvido diretamente na operação até o mais 
alto executivo. Os controles internos abrangem mecanismos e procedimentos que visam 
impedir que os riscos inerentes ao negócio se materializem.
O modelo pode ser sistematizado como a seguir.
4
Ainda que os órgãos de governança e a alta administração não integrem as linhas de defesa 
propriamente ditas, estes são as principais partes atendidas pelas linhas de defesa uma 
vez que têm a responsabilidade por “prestar contas sobre os objetivos da organização, a 
definição das estratégias para alcançar esses objetivos e o estabelecimento de estruturas 
e processos de governança para melhor gerenciar os riscos durante a realização destes 
objetivos” .
O modelo diferencia três grupos envolvidos no gerenciamento dos riscos:
- Funções que gerenciam e são “donos do risco”;
- Funções que supervisionam os riscos;
- Funções que fornecem avaliações independentes.
A primeira linha de defesa corresponde à gestão operacional e está relacionada à ação 
do próprio funcionário que executa determinado processo ou função. Ainda que exista 
uma área de controles de controles internos na organização, esta não é responsável pela 
implementação cotidiana dos controles que visam prevenir o risco. Assim, todo funcionário, 
qualquer que seja a sua função ou nível hierárquico, é responsável pela implementação 
de atividades de controle de forma a garantir a qualidade do serviço prestado. Aquele que 
executa determinada função é também reconhecido como o “dono do risco” inerente à 
função.
A gestão operacional é a primeira linha natural de defesa porque os controles são 
desenvolvidos como sistemas e processos sob sua gerência. Em contrapartida, por ser a 
área diretamente envolvida no processo, é a que tem menor nível de independência em 
relação às atividades de controle.
FONTE: Adaptação de figura da Declaração de posicionamento do Institute of Internal Auditors: As três linhas de defesa no 
gerenciamento eficaz de riscos e controles.
ÓRGÃO DE GOVERNANÇA / 
CONSELHO /COMITÊ~DE AUDITORIA
ALTA ADMINISTRAÇÃO
1a LINHA DE DEFESA 2a LINHA DE DEFESA 3a LINHA DE DEFESA
Gerenciamento de riscos
Conformidade
Controle financeiro
Gestão 
Operacional
Auditoria
Interna
Auditoria Externa e Reguladores
5
A segunda linha de defesa é desempenhada pela área de controles internos da organização. 
A principal função desta área é avaliar se os controles implementados estão funcionando 
adequadamente para prevenir o risco. Observe que esta área não está necessariamente 
preocupada em averiguar se o risco chegou a se materializar alguma vez, mas sim se o 
mecanismo empregado para impedir que ele se materialize é eficaz.
Um exemplo ilustrativo seria a verificação dos procedimentos de cadastro, know your 
customer e suitability empregados pelo participante. Esses procedimentos visam, 
entre outros, prevenir a lavagem de dinheiro. O foco da área de controles internos será 
avaliar se os procedimentos empregados estão sendo executados conforme previsto, 
independentemente de ter sido identificada efetivamente alguma situação de lavagem de 
dinheiro.
Vale observar que as áreas gestão de risco da organização têm preocupação e foco quase 
que opostos: não estão necessariamente preocupados com a eficiência dos controles, mas 
com os eventos negativos ocorridos apesar dos controles existentes. O trabalho da área 
de controles internos aumenta a segurança da organização de que os riscos não irão se 
materializar.
Ainda que o desenho e a estrutura variem entre as organizações, as funções típicas da 
segunda linha de defesa são:
- Uma função de gerenciamento de riscos que facilite e monitorea implementação de 
práticas eficientes por parte da gestão operacional (primeira linha) e ajude os “donos do 
risco” os níveis de risco aceitáveis;
- Uma função de conformidade que monitore riscos específicos tais como a não conformidade 
com a legislação;
- Uma função de controladoria que monitore os riscos financeiros.
A segunda linha de defesa possui maior autonomia e independência em relação à primeira, 
mas ainda é parte da estrutura organizacional que reporta para a alta administração.
A terceira linha de defesa é desempenhada pela área de auditoria interna que monitora 
permanentemente as atividades, identifica as falhas nos controles internos, faz 
recomendações de aprimoramentos e acompanha a sua implementação. A atividade de 
auditoria interna independente é regulada pela Instrução CVM 308/1999.
São os auditores internos que fornecem as avaliações mais abrangentes, com maior nível de 
independência e objetividade diretamente para os órgãos de governança e alta administração.
IMPORTANTE
As atividades de gerenciamento de riscos 
e controle devem ser valorizadas na 
organização. Os riscos a que estão sujeitos 
as instituições, uma vez materializados, 
podem levar não somente ao fracasso 
6
dos objetivos delineados, mas ao fracasso do negócio como um todo, dependendo da 
gravidade da ocorrência.
Os controles devem ser devidamente documentados pelos gestores das áreas de 
negócio, de forma a identificar as políticas e os procedimentos empregados, bem como as 
responsabilidades de cada profissional envolvido no negócio.
A organização deve alocar os recursos necessários ao processo e definir a infraestrutura 
apropriada às atividades de gerenciamento de riscos e controles internos.
Deve ser assegurado à área de controles internos e à auditoria interna o acesso às áreas e às 
informações do negócio, necessárias à avaliação da execução dos controles implementados.
8.2 – PAPEL DA AUDITORIA INTERNA
A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de 
consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. 
Auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem 
sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerencia- 
mento de riscos, controle e governança.
A auditoria interna é uma das mais importantes ferramentas para o controle administrativo. A 
ausência de controles adequados para empresas de estrutura complexa a expõe a inúmeros 
riscos, frequentes erros e desperdícios.
A área de auditoria interna deve promover a avaliação independente das atividades 
desenvolvidas pelas áreas da instituição de forma que a administração possa aferir a 
adequação dos controles internos, a efetividade do gerenciamento dos riscos, dos processos 
de governança, a adequação dos controles que suportam a emissão das informações 
financeiras e o cumprimento das normas e regulamentos (compliance).
Vimos também que um dos componentes de gerenciamento de riscos é o monitoramento 
dos controles. Um sistema de controles internos precisa passar por constantes testes 
e aprimoramentos, sendo o monitoramento o processo por meio do qual é avaliada de 
forma contínua a qualidade dos controles internos. O monitoramento é, em grande parte, 
desempenhado pela auditoria interna e, por esta razão, esta é considerada a terceira linha de 
defesa de uma política de controles internos. 
7
8.3 – COMPLIANCE COM AS NORMAS
A atividade de compliance, às vezes traduzida como conformidade, está associada aos 
controles internos da organização e é fundamental no gerenciamento de riscos. Trata-se 
de assegurar o atendimento às leis, regulamentações, normas e regulamentos que regem 
determinada atividade ou processo.
O sistema financeiro e o mercado de capitais são regidos por amplo conjunto de leis e normas 
que asseguram a sua integridade e bom funcionamento. Dessa forma, cada instituição deve 
ter mecanismos para zelar pelo atendimento a tais leis e normas.
Por outro lado, cabe aos reguladores como Bacen e CVM verificar se as instituições que 
compõe o sistema financeiro estão em compliance com a regulamentação em vigor. Isso 
é feito por meio de auditorias periódicas nas instituições por eles autorizadas a funcionar, 
bem como nas demais instituições que compõem a infraestrutura do sistema financeiro, 
entre elas a B3.
Outra peça essencial é o trabalho desenvolvido pelas entidades de autorregulação, como 
a BSM Supervisão de Mercado, que audita anualmente, conforme programa aprovado pela 
CVM, um amplo conjunto de participantes da B3.
OBJETIVOS DAS NORMAS E VEDAÇÕES 
Os participantes da B3 são regulados, principalmente, por normas do CMN, Bacen e da CVM. 
Essa estrutura normativa tem objetivos claros de preservar a integridade do mercado e 
o seu bom funcionamento, o que se assegura a partir do atendimento aos requisitos de 
controles internos e também por meio de:
- Justa formação de preço;
- Tratamento equitativo; 
- Prevenção ao conflito de interesses;
- Simetria de informação;
- Proteção do investidor;
-Prevenção à lavagem de dinheiro.
As normas têm também a faculdade de vedar comportamentos considerados prejudiciais 
ao bom funcionamento do mercado e à sua integridade. Em particular, são explicitamente 
vedados atos que possam constituir:
- Manipulação de mercado;
8
- Condições artificiais de preço, oferta e demanda;
- Práticas não equitativas entre investidores;
- Administração irregular de carteira por profissional não autorizado ou que tenha conflito de 
interesse;
- Atuação irregular de agentes autônomos de investimento;
- Financiamento irregular;
- Churning – negociação excessiva ou giro excessivo da carteira do investidor com o único 
objetivo de gerar maior corretagem;
- Front running – prática ilegal de posicionamento do participante no mercado antes dos 
clientes de forma a obter vantagens
- Insider trading – negociação baseada no conhecimento de informações relevantes que 
ainda não são de conhecimento público, com o objetivo de auferir lucro ou vantagem no 
mercado;
- Lavagem de dinheiro.
PRINCIPAIS ÁREAS DE COMPLIANCE E NORMAS DE REFERÊNCIA
A BSM Supervisão de Mercado utiliza o Roteiro Básico do Programa de Qualificação 
Operacional (PQO) para realizar sua auditoria anual de compliance nos participantes definidos 
pela instrução CVM 461/2007 como “pessoas autorizadas a operar”.
O Roteiro Básico (RB) está organizado por processos ou temas de compliance. A cada tema 
está relacionado um conjunto de regras emitidas pela B3 como entidade autorreguladora e 
normas de referência do CMN, Bacen, CVM e da própria Bolsa (ofícios circulares). O RB define 
a natureza e a abrangência do compliance a ser verificado por ocasião das auditorias da BSM. 
O quadro a seguir indica os temas tratados e as normas a eles associadas.
Vale ressaltar que o RB é condição de acesso e manutenção do participante na B3, porém, 
não é uma lista extensiva das normas que regem os mercados administrados pela Bolsa. 
IMPORTANTE
Os normativos indicados não correspondem a uma lista exaustiva. Estão em constante 
revisão em decorrência do avanço da legislação e da regulamentação brasileira relativas ao 
sistema financeiro e ao mercado de capitais.
Cabe ao participante orientar seus profissionais a fazerem o acompanhamento das normas 
referentes às atividades das quais participam de forma a manterem-se permanentemente 
atualizados.
9
OBJETIVOS GERAIS DA AUDITORIA 
DE COMPLIANCE (OBRIGAÇÕES 
DO PARTICIPANTE)
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Fornecer informações sobre produtos 
oferecidos: características, se o patrimônio 
é garantido ou não, risco do investimento, 
duração recomendada, desempenho 
esperado, política de cobrança de taxas, 
tributação e situações de conflito de 
interesse.
- Definir e manter atualizado o perfil do 
cliente, considerando operações realizadas, 
situação econômico-financeira, objetivos 
de investimento, tolerância ao risco e 
experiência.- Oferecer produtos compatíveis com o 
perfil do cliente, avaliando continuamente a 
adequação das operações ao seu perfil.
- Efetuar o cadastro de todos os clientes com 
conteúdo mínimo e mantê-los atualizados. 
- Manter Regras e Parâmetros de Atuação (RPA) 
para: cadastro, tipos de ordens aceitas e horários, 
forma de emissão das ordens, prazo de validade 
das ordens, recusa e cancelamento de ordens, 
execução de ordens, distribuição de negócios, 
política de atuação para pessoas vinculadas e 
carteira própria, liquidação de operações, controles 
de riscos, custódia de ativos, sistema de gravação 
de voz e forma de comunicação com o cliente.
- Manter contrato de intermediação com o cliente 
do qual faça parte as RPA e a política de cobrança 
de taxas e emolumentos.
- Manter contrato com intermediário estrangeiro 
no caso de cadastro simplificado de investidores 
não residentes.
- Manter contrato de custódia e de operações de 
empréstimo/aluguel de ativos.
- Manter cadastro armazenado por cinco anos. 
- Manter cadastro e vinculações de conta máster.
- Efetuar mudança de endereço somente 
mediante solicitação escrita e expressa do cliente.
- Enviar extratos de operações e custódia para o 
endereço do investidor.
- Identificar pessoas vinculadas.
- ICVM 539 
(EM VIGOR EM 
05/01/2015)
- ICVM 301 
(ALTERADA ICVM 
506)
- ICVM 505 
- OFÍCIO CIRCULAR 
(OC) 053/2012
- REGULAMENTO DA 
CÂMARA DE AÇÕES 
(CONTRATO DE 
CUSTÓDIA)
- ICVM 441 
(CONTRATO DE 
EMPRÉSTIMO/
ALUGUEL 
DE VALORES 
MOBILIÁRIOS)
- OC 20 E 42/2012 
(CONTA MÁSTER)
- ICVM 310 E ICVM 
542 (ENVIO DE 
EXTRATOS)
SUITABILITY
CADASTRO
1011
VERIFICAÇÕES 
DA AUDITORIA DE COMPLIANCE 
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Executar ordens nas condições indicadas pelo cliente 
ou, na falta de indicação, nas melhores condições de 
mercado.
- Execução de ordens somente pode ser realizada por 
profissional qualificado e vinculado ao participante.
- Manter sistema informatizado de registro e controle 
de ordens com informações mínimas: identificação 
do cliente, data e horário do recebimento da ordem, 
prazo de validade, numeração sequencial e cronológica, 
ativo, quantidade, preço, indicação de pessoa vinculada 
ou carteira própria, compra ou venda, a vista, termo, 
opções, tipo de ordem, emissor da ordem, indicação de 
status (executada, não executada, cancelada).
- Identificar situações de conflito de interesse: segregar 
atividades (gestão de carteira de terceiros e operações 
proprietárias/pessoas vinculadas) e espaços (mesas 
de operações proprietária e de clientes) e fornecer 
informações sobre operações que tenham pessoa 
vinculada ou carteira própria como contraparte ou 
vedá-las de acordo com a regulamentação. 
- Reespecificar operações somente nas hipóteses 
previstas.
- Gravar ordens recebidas, abrangendo todas as formas 
de recebimento, como telefone, e-mail, mensageria 
eletrônica e presencial, e manter arquivado por cinco 
anos. 
- Respeitar a exclusividade de acesso às sessões da 
negociação da B3 (mesa, assessor e DMA).
- Utilizar ferramenta própria ou da B3 para controlar o 
risco de operações de investidores de alta frequência 
(HFT). 
- Disponibilizar informações sobre as operações 
realizadas e posições em carteira contendo: ativo, 
mercado (a vista, termo, opções, futuro), quantidade, 
preço, data do pregão, taxa de corretagem, 
emolumentos, IR retido na fonte, posição em custódia 
(livre, garantias e bloqueios) e extrato de conta corrente.
- Não conceder financiamento, empréstimos ou 
adiantamentos.
- Receber pagamento de clientes somente por meio 
de transferência de contas ou cheques de titularidade 
do cliente e pagar clientes somente por meio de 
transferência de contas ou cheques de titularidade do 
participante (pagamento/recebimento de investidores 
não residentes pode ser feito por meio do custodiante 
desde que este seja identificado no cadastro).
- Controlar posições de clientes e conciliar 
periodicamente.
- ICVM 505
- OC 053/2012
- ICVM 505, ICVM 306 
E ICVM 117 (CONFLITO 
DE INTERESSE)
- ICVM 505 
(PAGAMENTOS E 
RECEBIMENTOS/
CONCILIAÇÃO)
- ICVM 51 (CONTA 
MARGEM)
- CMN 1.655 E ICVM 
51 (VEDAÇÃO A 
EMPRÉSTIMOS)
- REGULAMENTO 
DE OPERAÇÕES 
E MANUAIS DE 
PROCEDIMENTOS 
OPERACIONAIS DA 
BM&FBOVESPA
EXECUÇÃO DE 
ORDENS
LIQUIDAÇÃO DE 
ORDENS 
1112
VERIFICAÇÕES 
DA AUDITORIA DE COMPLIANCE 
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Gerenciar operações de financiamento para 
compra de ações (conta margem).
- Manter em custódia títulos caucionados a favor 
do participante para garantir os empréstimos de 
operações de conta margem.
- Avaliar diariamente os títulos caucionados pelo 
preço médio do dia anterior.
- Identificar operações de conta margem no 
balancete mensal e no balanço semestral.
- Disponibilizar informações diárias aos clientes 
sobre o uso de conta margem.
- ICVM 505
- OC 053/2012
- ICVM 505, ICVM 306 
E ICVM 117 (CONFLITO 
DE INTERESSE)
CONTA MARGEM
CUSTÓDIA DE 
ATIVOS 
- ICVM 542
- 4373/2014 
- Manter ativos em contas individualizadas em nome 
de cada cliente.
- Manter sistema de controle de custódia que 
permita controlar saldos e movimentações.
- Movimentar ativos somente mediante instrução 
formal do cliente, exceto aquelas relacionadas às 
ordens do cliente.
- Conciliar saldos e movimentações registrados 
em contas de custódia com registros da Central 
Depositária da B3 e tomar providências em casos de 
divergência.
- Enviar extrato de custódia sempre que solicitado, ao 
final de cada mês ou quando houver movimentação 
(mínimo uma vez por ano).
- Vedar a transferência de titularidade, no exterior, de 
títulos pertencentes a investidor não residente.
- Segregar fisicamente a custódia da administração 
de recursos e das mesas de operações.
- CMN 3380
- CMN 3464
- CMN 3721
- CMN 4090 
- REGULAMENTO 
DE OPERAÇÕES 
E MANUAIS DE 
PROCEDIMENTOS 
OPERACIONAIS DA 
BM&FBOVESPA
GERENCIAMENTO DE 
RISCOS 
- Manter procedimentos para definição de limites 
operacionais e de exposição ao risco de cada cliente 
e monitorar a sua utilização intradia.
- Estabelecer mecanismos de gerenciamento 
de riscos intradia a que está exposto perante 
cada cliente, abrangendo posições em aberto e 
movimentações diárias.
- Monitorar as obrigações dos clientes, visando 
a liquidação de operações e o atendimento às 
chamadas de margem em tempo hábil.
- Orientar os clientes acerca dos procedimentos, 
horários e limites a serem observados na 
transferência de ativos para cobertura de margem. 
- Implantar e monitorar os parâmetros mínimos 
definidos pela Bolsa nas ferramentas de gestão de 
risco pré-negociação.
1213
VERIFICAÇÕES 
DA AUDITORIA DE COMPLIANCE 
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Manter sistema de controles internos.
- Emitir relatório semestral de controles internos 
e enviá-lo formalmente ao Diretor de Auditoria 
da BM&FBOVESPA. O relatório deve contemplar o 
Roteiro Básico. 
- Enquadrar-se nos requisitos financeiros da sua 
categoria de atuação.
- Indicar Diretor de Compliance que não seja Diretor 
de Operações e de Relações com o Mercado.
- Manter mecanismos para assegurar o sigilo das 
informações dos investidores.
- Manter canal de relacionamento para receber, 
registrar e gerenciar reclamações e dúvidas.
- Certificar profissionais de acordo com os requisitos 
estabelecidos pela BM&FBOVESPA, sendo pelo 
menos um profissional com certificação de risco e 
um com certificação de compliance.
- Credenciar todos os operadores e agentes 
autônomos de investimento na BM&FBOVESPA.
- Dispor de mecanismos de controle que identifique, 
mitigue e monitore os riscos relacionados à lavagem de 
dinheiro, incluindo: identificação e cadastro de clientes, 
origem e destino de recursos e compatibilidade das 
operações com a situação econômico financeira e 
patrimonial do cliente.
- Dispensar especial atenção às seguintes situações: 
operações com valores incompatíveis com ocupação 
profissional e situação econômico-financeirae 
patrimonial, operações entre partes nas quais se 
verifique ganhos ou perdas recorrentes a favor de uma 
delas, operações com variação significativa de volume 
e frequência, operações que dificultem a identificação 
dos envolvidos, operações em nome de terceiros, 
operações com mudanças repentinas e injustificadas 
e sem fundamento econômico, operações com 
liquidação em espécie, operações entre partes 
não cooperantes segundo o Coaf, operações com 
complexidade e risco incompatíveis com a experiência 
do cliente e transferências referentes a liquidação e 
prestação de garantias de/para terceiros. 
- CMN 2554
- ICVM 505
- CMN 4090 (SIGILO 
DAS INFORMAÇÕES)
- OC 008/2014 
(CERTIFICAÇÃO DE 
PROFISSIONAIS) 
- LEI 9613
- ICVM 301
- CIRCULAR BACEN 
3461
INTEGRIDADE
PREVENÇÃO À 
LAVAGEM DE 
DINHEIRO
1314
VERIFICAÇÕES 
DA AUDITORIA DE COMPLIANCE 
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Fiscalizar as atividades dos agentes autônomos de 
investimento (AAI) e estender a estes a aplicação de 
regras, procedimentos e controles internos adotados 
pelo participante.
- Manter sistema de registro das ordens recebidas 
pelos AAIs, qualquer que seja o meio de transmissão 
da ordem (gravação telefônica, registro por escrito 
etc.).
- Manter contrato com os AAIs e verificar a 
regularidade do registro destes (o AAI, pessoa 
física ou jurídica, deve ter registro na CVM e pode ter 
vínculo contratual com um único participante; e o 
AAI pessoa jurídica somente pode ter como sócios 
pessoas físicas que exerçam a atividade de AAI com 
exclusividade).
- Respeitar as vedações previstas na regulamentação: 
utilizar senhas de clientes, enviar extratos de 
confecção própria e atuar como procurador ou 
administrador de carteira.
- Efetuar pagamentos diretamente para a pessoa 
física ou jurídica vinculada contratualmente.
- Comunicar aos clientes apresentados por AAIs o 
seu regime de atuação, limites e vedações.
- No caso de rescisão contratual, manter o registro 
das atividades do AAI por cinco anos. 
- No caso de novo contrato, respeitar o prazo de 60 
dias para transferência de um participante para outro. 
- Possuir procedimentos que assegurem a quantidade 
máxima de cotas por cotista (40%) e o número mínimo 
(3) e máximo (50) de cotistas por clube.
- Manter sistema de controle que assegure que, pelo 
menos, 67% estejam investidos em ações, bônus de 
subscrição, debêntures conversíveis em ações, recibos 
de subscrição, cotas de fundos de índice de ações e 
certificados de depósito de ações.
- Enviar à B3 informações requeridas com periodicidade 
definida.
- Não realizar operações fora dos mercados 
autorizados, adquirir títulos ou valores mobiliários de 
emissão de administrador, gestor ou empresas a eles 
ligadas, assim como cotas de fundos administrados ou 
geridos por estes.
- Manter procedimentos e canais de comunicação para 
envio de informações aos cotistas.
- ICVM 497
- OC 053/2012
- ICVM 494
- OC 028/2012
- REGULAMENTO 
DE CLUBES DE 
INVESTIMENTO DA 
B3
AGENTE AUTÔNOMO 
DE INVESTIMENTO
CLUBES DE 
INVESTIMENTO
1415
VERIFICAÇÕES 
DA AUDITORIA DE COMPLIANCE 
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Ter e difundir política de segurança de informações 
que defina, no mínimo, a confidencialidade e a 
integridade de informação, responsabilidade 
do uso de senha, utilização da Internet, correio 
eletrônico e softwares, concessão e administração 
de acesso a sistemas, bases de dados e rede, e 
segurança física dos ambientes de operação e 
processamento.
- Manter segurança da rede, arquivos, bases de 
dados e sistema de tráfego de informações para 
garantir o sigilo e integridade das informações dos 
clientes.
- Armazenar deforma criptografada senhas de 
acesso que atendam aos parâmetros de tamanho 
mínimo (6), caracteres, tempo de expiração (45 
dias), número de tentativas antes de bloqueio (3) e 
histórico mínimo de senhas usadas (6).
- Manter trilhas que assegurem a rastreabilidade 
dos eventos, incluindo: identificação do usuário, 
data e horário, tipo de evento (inclusão, alteração 
e exclusão).
- Possuir certificação digital emitido por 
entidade certificadora e em conformidade com 
padrões mínimos de segurança para o canal de 
relacionamento com clientes. 
- Monitorar a rede para impedir acessos indevidos.
- Manter CPD em ambiente exclusivo e controlado 
(incêndio, temperatura e energia alternativa). 
- ICVM 380
- ICVM 505
- OC 021/2008-DP
- OC 030/2010-DP
- OC 053/2012
- OC 003/2013-DP
- OC 066/2013-DP
- OC 042/2014-DP
SEGURANÇA DA 
INFORMAÇÃO
CONTINUIDADE DE 
NEGÓCIOS
- ICVM 380- Desenvolver, implantar e testar plano de 
continuidade cujos objetivos mínimos sejam 
assegurar: (liquidação com a BM&FBOVESPA) 
recebimento e pagamento de valores de liquidação, 
entrega e recebimento de ativos, depósito de 
garantias e atendimento às chamas de margem; 
(liquidação com clientes) comunicação com 
clientes, Bolsa, agente de custódia, membro de 
compensação e banco liquidante e monitoramento 
de entrada e saída de recursos.
- (Sistema de recebimento de ordens pela 
Internet) – Estabelecer planos de continuidade 
para preservar o atendimento de clientes em caso 
de suspensão dos serviços de Internet.
1516
- ICVM 380
- CVM 505/2011
- OC 078/2010
- OC 053/2012
MONITORAMENTO 
E OPERAÇÃO DA 
INFRAESTRUTURA
- Monitorar o sistema de negociação eletrônica para 
assegurar nível de disponibilidade compatível com a 
regulação.
- Manter procedimentos documentados de backup 
de dados necessários para garantir a disponibilidade 
das informações.
- Monitorar a execução de rotinas de backup, testar 
a integridade e a recuperação das informações em 
cópia de segurança (armazenada em local externo 
às instalações principais).
- Monitorar a capacidade e disponibilidade da rede, 
canais de comunicação e bancos de dados.
1617
17
VERIFICAÇÕES 
DA AUDITORIA DE COMPLIANCE 
REGRAS E NORMAS 
RELACIONADAS
TEMA OU PROCESSO 
DE COMPLIANCE
- Dispor de controles para o gerenciamento de 
mudanças de software, hardware e infraestrutura.
- Dispor de controles para o desenvolvimento, 
manutenção e aquisição de software.
- Realizar manutenções e atualizações técnicas e se 
segurança periódicas. 
GERENCIAMENTO DE 
MUDANÇAS
- CVM 505/2011
- OC 053/2012
SUPORTE DE 
INFRAESTRUTURA
- Adotar providências de manutenção periódica 
e monitoramento de sistemas de gravação das 
ordens recebidas, abrangendo todas as formas de 
recebimento de ordens utilizada pelo participante, 
de que são exemplos: telefone, e-mail, mensageria 
eletrônica e presencial.
- Monitorar o SLA (Service Level Agreement) de 
atendimento e resolução de problemas. 
- Inventariar, homologar e possuir licença de todos 
os softwares e equipamentos de informática.
- Possuir software de antivírus em todos os 
servidores e estações de trabalho.
18
EXPEDIENTE
18
Texto
[ B ] 3
Apoio Técnico
Patrícia Guedes
Gerência de Certificação e Educação Continuada
Ricardo Nardini
Superintendência de Educação e Informações Técnicas
Ana Claudia Leoni
Superintendência geral
José Carlos Doherty
Copyright © 2017
Todos os direitos reservados. É proibida a reprodução
total ou parcial sem autorização da ANBIMA. 
ANBIMA - Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais
Av. República do Chile, 230 - 13° andar CEP: 20031-919 - Rio de Janeiro - RJ 
Tel: (21) 3814-3800 / Fax: (21) 3814-3960
Av. das Nações Unidas, 8.501 -21º andar CEP: 05425-070 - São Paulo - SP 
Tel: (11) 3471-4200 / Fax: (11) 3471- 4240
http://www.anbima.com.br/pt_br/educar/educar.htm
19