Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 RISCO CORPORATIVO , CONTROLES INTERNOS, AUDITORIA INTERNA E COMPLIANCE CAP.8 ÍNDICE CAPÍTULO 8 –RISCO CORPORATIVO , CONTROLES INTERNOS, AUDITORIA INTERNA E COMPLIANCE 8.1 - Gerenciamento do Risco Corporativo e Controles Internos – O Modelo das Três Linhas................4 8.2 - Papel da Auditoria Interna.........................................................................................................................................10 8.3 - Compliance com as Normas.....................................................................................................................................13 Expediente..................................................................................................................................................................................17 2 APRESENTAÇÃO DO CAPÍTULO O objetivo deste capítulo é apresentar os principais conceitos e procedimentos relativos às atividades de gerenciamento de riscos corporativos e controles internos, bem como as normas que devem ser atendidas pela instituição em relação a diversos temas e áreas (lavagem de dinheiro, cadastro, execução de operações, por exemplo). Neste capítulo, você verá: - O modelo das três linhas de defesa para gerenciamento do risco corporativo e controles internos, que sistematiza a governança da estrutura de controles internos na organização. - O arcabouço do Coso para o desenvolvimento de sistemas de controles internos que viabilizam o alcance dos objetivos da organização por meio de uma melhor compreensão dos riscos aos quais está sujeita a organização e da identificação de formas de mitigá-los. O Coso é uma entidade privada independente sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. - A base legal que rege, no Brasil, as atividades de gerenciamento de riscos e controles internos. Serão apresentadas as principais normas do Bacen para controles internos, risco de mercado, risco operacional, risco de crédito e risco de liquidez. - O papel da auditoria interna nas organizações. - As principais normas aplicáveis às instituições participantes da B3 em diferentes processos, tais como cadastro, custódia de ativos, suitability, prevenção à lavagem de dinheiro e gerenciamento de riscos. O Anexo a este capítulo traz as principais referências normativas para os mercados administrados pela B3. 3 8.1 – GERENCIAMENTO DO RISCO CORPORATIVO E CONTROLES INTERNOS – O MODELO DAS TRÊS LINHAS Os profissionais das áreas de risco, controles internos e compliance tem se mostrado cada vez mais valiosos para as organizações gerenciarem os riscos de suas atividades, tendo em vista os objetivos estratégicos traçados e a necessidade dos dirigentes de tomar decisões bem fundamentadas e abrangentes sobre o nível de risco que estão dispostos a assumir para o desenvolvimento do seu negócio. No entanto a simples existência de atividades relacionadas à mensuração de riscos e controles não assegura que a estrutura de gerenciamento do risco corporativo e controles internos seja eficiente. É fundamental que as iniciativas sejam coordenadas de forma a evitar lacunas de controles ou redundância de esforços. Por essa razão, a governança da estrutura de gerenciamento do risco corporativo e controles internos é essencial para garantir uma abordagem coesa e coordenada do tema. É importante enfatizar que a visão de risco corporativo envolve todas as áreas da instituição e abarca riscos de diversas naturezas. É comum que, ao falarmos de risco no âmbito do mercado de capitais, pensemos prioritariamente em riscos financeiros, mas a abordagem de risco corporativo é muito mais ampla e trata de qualquer risco que possa afetar o desempenho da instituição, como veremos ao longo deste capítulo. O modelo das três linhas de defesa é uma forma simples de promover a eficácia do gerenciamento de riscos e controle na medida em que esclarece as responsabilidades essenciais. O modelo é aplicável a qualquer organização independentemente de seu tamanho e complexidade. O modelo das três linhas de defesa preconiza que o desenvolvimento e a implementação de atividades de controles internos são responsabilidades de todos os integrantes da organização: desde o funcionário que está envolvido diretamente na operação até o mais alto executivo. Os controles internos abrangem mecanismos e procedimentos que visam impedir que os riscos inerentes ao negócio se materializem. O modelo pode ser sistematizado como a seguir. 4 Ainda que os órgãos de governança e a alta administração não integrem as linhas de defesa propriamente ditas, estes são as principais partes atendidas pelas linhas de defesa uma vez que têm a responsabilidade por “prestar contas sobre os objetivos da organização, a definição das estratégias para alcançar esses objetivos e o estabelecimento de estruturas e processos de governança para melhor gerenciar os riscos durante a realização destes objetivos” . O modelo diferencia três grupos envolvidos no gerenciamento dos riscos: - Funções que gerenciam e são “donos do risco”; - Funções que supervisionam os riscos; - Funções que fornecem avaliações independentes. A primeira linha de defesa corresponde à gestão operacional e está relacionada à ação do próprio funcionário que executa determinado processo ou função. Ainda que exista uma área de controles de controles internos na organização, esta não é responsável pela implementação cotidiana dos controles que visam prevenir o risco. Assim, todo funcionário, qualquer que seja a sua função ou nível hierárquico, é responsável pela implementação de atividades de controle de forma a garantir a qualidade do serviço prestado. Aquele que executa determinada função é também reconhecido como o “dono do risco” inerente à função. A gestão operacional é a primeira linha natural de defesa porque os controles são desenvolvidos como sistemas e processos sob sua gerência. Em contrapartida, por ser a área diretamente envolvida no processo, é a que tem menor nível de independência em relação às atividades de controle. FONTE: Adaptação de figura da Declaração de posicionamento do Institute of Internal Auditors: As três linhas de defesa no gerenciamento eficaz de riscos e controles. ÓRGÃO DE GOVERNANÇA / CONSELHO /COMITÊ~DE AUDITORIA ALTA ADMINISTRAÇÃO 1a LINHA DE DEFESA 2a LINHA DE DEFESA 3a LINHA DE DEFESA Gerenciamento de riscos Conformidade Controle financeiro Gestão Operacional Auditoria Interna Auditoria Externa e Reguladores 5 A segunda linha de defesa é desempenhada pela área de controles internos da organização. A principal função desta área é avaliar se os controles implementados estão funcionando adequadamente para prevenir o risco. Observe que esta área não está necessariamente preocupada em averiguar se o risco chegou a se materializar alguma vez, mas sim se o mecanismo empregado para impedir que ele se materialize é eficaz. Um exemplo ilustrativo seria a verificação dos procedimentos de cadastro, know your customer e suitability empregados pelo participante. Esses procedimentos visam, entre outros, prevenir a lavagem de dinheiro. O foco da área de controles internos será avaliar se os procedimentos empregados estão sendo executados conforme previsto, independentemente de ter sido identificada efetivamente alguma situação de lavagem de dinheiro. Vale observar que as áreas gestão de risco da organização têm preocupação e foco quase que opostos: não estão necessariamente preocupados com a eficiência dos controles, mas com os eventos negativos ocorridos apesar dos controles existentes. O trabalho da área de controles internos aumenta a segurança da organização de que os riscos não irão se materializar. Ainda que o desenho e a estrutura variem entre as organizações, as funções típicas da segunda linha de defesa são: - Uma função de gerenciamento de riscos que facilite e monitorea implementação de práticas eficientes por parte da gestão operacional (primeira linha) e ajude os “donos do risco” os níveis de risco aceitáveis; - Uma função de conformidade que monitore riscos específicos tais como a não conformidade com a legislação; - Uma função de controladoria que monitore os riscos financeiros. A segunda linha de defesa possui maior autonomia e independência em relação à primeira, mas ainda é parte da estrutura organizacional que reporta para a alta administração. A terceira linha de defesa é desempenhada pela área de auditoria interna que monitora permanentemente as atividades, identifica as falhas nos controles internos, faz recomendações de aprimoramentos e acompanha a sua implementação. A atividade de auditoria interna independente é regulada pela Instrução CVM 308/1999. São os auditores internos que fornecem as avaliações mais abrangentes, com maior nível de independência e objetividade diretamente para os órgãos de governança e alta administração. IMPORTANTE As atividades de gerenciamento de riscos e controle devem ser valorizadas na organização. Os riscos a que estão sujeitos as instituições, uma vez materializados, podem levar não somente ao fracasso 6 dos objetivos delineados, mas ao fracasso do negócio como um todo, dependendo da gravidade da ocorrência. Os controles devem ser devidamente documentados pelos gestores das áreas de negócio, de forma a identificar as políticas e os procedimentos empregados, bem como as responsabilidades de cada profissional envolvido no negócio. A organização deve alocar os recursos necessários ao processo e definir a infraestrutura apropriada às atividades de gerenciamento de riscos e controles internos. Deve ser assegurado à área de controles internos e à auditoria interna o acesso às áreas e às informações do negócio, necessárias à avaliação da execução dos controles implementados. 8.2 – PAPEL DA AUDITORIA INTERNA A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerencia- mento de riscos, controle e governança. A auditoria interna é uma das mais importantes ferramentas para o controle administrativo. A ausência de controles adequados para empresas de estrutura complexa a expõe a inúmeros riscos, frequentes erros e desperdícios. A área de auditoria interna deve promover a avaliação independente das atividades desenvolvidas pelas áreas da instituição de forma que a administração possa aferir a adequação dos controles internos, a efetividade do gerenciamento dos riscos, dos processos de governança, a adequação dos controles que suportam a emissão das informações financeiras e o cumprimento das normas e regulamentos (compliance). Vimos também que um dos componentes de gerenciamento de riscos é o monitoramento dos controles. Um sistema de controles internos precisa passar por constantes testes e aprimoramentos, sendo o monitoramento o processo por meio do qual é avaliada de forma contínua a qualidade dos controles internos. O monitoramento é, em grande parte, desempenhado pela auditoria interna e, por esta razão, esta é considerada a terceira linha de defesa de uma política de controles internos. 7 8.3 – COMPLIANCE COM AS NORMAS A atividade de compliance, às vezes traduzida como conformidade, está associada aos controles internos da organização e é fundamental no gerenciamento de riscos. Trata-se de assegurar o atendimento às leis, regulamentações, normas e regulamentos que regem determinada atividade ou processo. O sistema financeiro e o mercado de capitais são regidos por amplo conjunto de leis e normas que asseguram a sua integridade e bom funcionamento. Dessa forma, cada instituição deve ter mecanismos para zelar pelo atendimento a tais leis e normas. Por outro lado, cabe aos reguladores como Bacen e CVM verificar se as instituições que compõe o sistema financeiro estão em compliance com a regulamentação em vigor. Isso é feito por meio de auditorias periódicas nas instituições por eles autorizadas a funcionar, bem como nas demais instituições que compõem a infraestrutura do sistema financeiro, entre elas a B3. Outra peça essencial é o trabalho desenvolvido pelas entidades de autorregulação, como a BSM Supervisão de Mercado, que audita anualmente, conforme programa aprovado pela CVM, um amplo conjunto de participantes da B3. OBJETIVOS DAS NORMAS E VEDAÇÕES Os participantes da B3 são regulados, principalmente, por normas do CMN, Bacen e da CVM. Essa estrutura normativa tem objetivos claros de preservar a integridade do mercado e o seu bom funcionamento, o que se assegura a partir do atendimento aos requisitos de controles internos e também por meio de: - Justa formação de preço; - Tratamento equitativo; - Prevenção ao conflito de interesses; - Simetria de informação; - Proteção do investidor; -Prevenção à lavagem de dinheiro. As normas têm também a faculdade de vedar comportamentos considerados prejudiciais ao bom funcionamento do mercado e à sua integridade. Em particular, são explicitamente vedados atos que possam constituir: - Manipulação de mercado; 8 - Condições artificiais de preço, oferta e demanda; - Práticas não equitativas entre investidores; - Administração irregular de carteira por profissional não autorizado ou que tenha conflito de interesse; - Atuação irregular de agentes autônomos de investimento; - Financiamento irregular; - Churning – negociação excessiva ou giro excessivo da carteira do investidor com o único objetivo de gerar maior corretagem; - Front running – prática ilegal de posicionamento do participante no mercado antes dos clientes de forma a obter vantagens - Insider trading – negociação baseada no conhecimento de informações relevantes que ainda não são de conhecimento público, com o objetivo de auferir lucro ou vantagem no mercado; - Lavagem de dinheiro. PRINCIPAIS ÁREAS DE COMPLIANCE E NORMAS DE REFERÊNCIA A BSM Supervisão de Mercado utiliza o Roteiro Básico do Programa de Qualificação Operacional (PQO) para realizar sua auditoria anual de compliance nos participantes definidos pela instrução CVM 461/2007 como “pessoas autorizadas a operar”. O Roteiro Básico (RB) está organizado por processos ou temas de compliance. A cada tema está relacionado um conjunto de regras emitidas pela B3 como entidade autorreguladora e normas de referência do CMN, Bacen, CVM e da própria Bolsa (ofícios circulares). O RB define a natureza e a abrangência do compliance a ser verificado por ocasião das auditorias da BSM. O quadro a seguir indica os temas tratados e as normas a eles associadas. Vale ressaltar que o RB é condição de acesso e manutenção do participante na B3, porém, não é uma lista extensiva das normas que regem os mercados administrados pela Bolsa. IMPORTANTE Os normativos indicados não correspondem a uma lista exaustiva. Estão em constante revisão em decorrência do avanço da legislação e da regulamentação brasileira relativas ao sistema financeiro e ao mercado de capitais. Cabe ao participante orientar seus profissionais a fazerem o acompanhamento das normas referentes às atividades das quais participam de forma a manterem-se permanentemente atualizados. 9 OBJETIVOS GERAIS DA AUDITORIA DE COMPLIANCE (OBRIGAÇÕES DO PARTICIPANTE) REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Fornecer informações sobre produtos oferecidos: características, se o patrimônio é garantido ou não, risco do investimento, duração recomendada, desempenho esperado, política de cobrança de taxas, tributação e situações de conflito de interesse. - Definir e manter atualizado o perfil do cliente, considerando operações realizadas, situação econômico-financeira, objetivos de investimento, tolerância ao risco e experiência.- Oferecer produtos compatíveis com o perfil do cliente, avaliando continuamente a adequação das operações ao seu perfil. - Efetuar o cadastro de todos os clientes com conteúdo mínimo e mantê-los atualizados. - Manter Regras e Parâmetros de Atuação (RPA) para: cadastro, tipos de ordens aceitas e horários, forma de emissão das ordens, prazo de validade das ordens, recusa e cancelamento de ordens, execução de ordens, distribuição de negócios, política de atuação para pessoas vinculadas e carteira própria, liquidação de operações, controles de riscos, custódia de ativos, sistema de gravação de voz e forma de comunicação com o cliente. - Manter contrato de intermediação com o cliente do qual faça parte as RPA e a política de cobrança de taxas e emolumentos. - Manter contrato com intermediário estrangeiro no caso de cadastro simplificado de investidores não residentes. - Manter contrato de custódia e de operações de empréstimo/aluguel de ativos. - Manter cadastro armazenado por cinco anos. - Manter cadastro e vinculações de conta máster. - Efetuar mudança de endereço somente mediante solicitação escrita e expressa do cliente. - Enviar extratos de operações e custódia para o endereço do investidor. - Identificar pessoas vinculadas. - ICVM 539 (EM VIGOR EM 05/01/2015) - ICVM 301 (ALTERADA ICVM 506) - ICVM 505 - OFÍCIO CIRCULAR (OC) 053/2012 - REGULAMENTO DA CÂMARA DE AÇÕES (CONTRATO DE CUSTÓDIA) - ICVM 441 (CONTRATO DE EMPRÉSTIMO/ ALUGUEL DE VALORES MOBILIÁRIOS) - OC 20 E 42/2012 (CONTA MÁSTER) - ICVM 310 E ICVM 542 (ENVIO DE EXTRATOS) SUITABILITY CADASTRO 1011 VERIFICAÇÕES DA AUDITORIA DE COMPLIANCE REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Executar ordens nas condições indicadas pelo cliente ou, na falta de indicação, nas melhores condições de mercado. - Execução de ordens somente pode ser realizada por profissional qualificado e vinculado ao participante. - Manter sistema informatizado de registro e controle de ordens com informações mínimas: identificação do cliente, data e horário do recebimento da ordem, prazo de validade, numeração sequencial e cronológica, ativo, quantidade, preço, indicação de pessoa vinculada ou carteira própria, compra ou venda, a vista, termo, opções, tipo de ordem, emissor da ordem, indicação de status (executada, não executada, cancelada). - Identificar situações de conflito de interesse: segregar atividades (gestão de carteira de terceiros e operações proprietárias/pessoas vinculadas) e espaços (mesas de operações proprietária e de clientes) e fornecer informações sobre operações que tenham pessoa vinculada ou carteira própria como contraparte ou vedá-las de acordo com a regulamentação. - Reespecificar operações somente nas hipóteses previstas. - Gravar ordens recebidas, abrangendo todas as formas de recebimento, como telefone, e-mail, mensageria eletrônica e presencial, e manter arquivado por cinco anos. - Respeitar a exclusividade de acesso às sessões da negociação da B3 (mesa, assessor e DMA). - Utilizar ferramenta própria ou da B3 para controlar o risco de operações de investidores de alta frequência (HFT). - Disponibilizar informações sobre as operações realizadas e posições em carteira contendo: ativo, mercado (a vista, termo, opções, futuro), quantidade, preço, data do pregão, taxa de corretagem, emolumentos, IR retido na fonte, posição em custódia (livre, garantias e bloqueios) e extrato de conta corrente. - Não conceder financiamento, empréstimos ou adiantamentos. - Receber pagamento de clientes somente por meio de transferência de contas ou cheques de titularidade do cliente e pagar clientes somente por meio de transferência de contas ou cheques de titularidade do participante (pagamento/recebimento de investidores não residentes pode ser feito por meio do custodiante desde que este seja identificado no cadastro). - Controlar posições de clientes e conciliar periodicamente. - ICVM 505 - OC 053/2012 - ICVM 505, ICVM 306 E ICVM 117 (CONFLITO DE INTERESSE) - ICVM 505 (PAGAMENTOS E RECEBIMENTOS/ CONCILIAÇÃO) - ICVM 51 (CONTA MARGEM) - CMN 1.655 E ICVM 51 (VEDAÇÃO A EMPRÉSTIMOS) - REGULAMENTO DE OPERAÇÕES E MANUAIS DE PROCEDIMENTOS OPERACIONAIS DA BM&FBOVESPA EXECUÇÃO DE ORDENS LIQUIDAÇÃO DE ORDENS 1112 VERIFICAÇÕES DA AUDITORIA DE COMPLIANCE REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Gerenciar operações de financiamento para compra de ações (conta margem). - Manter em custódia títulos caucionados a favor do participante para garantir os empréstimos de operações de conta margem. - Avaliar diariamente os títulos caucionados pelo preço médio do dia anterior. - Identificar operações de conta margem no balancete mensal e no balanço semestral. - Disponibilizar informações diárias aos clientes sobre o uso de conta margem. - ICVM 505 - OC 053/2012 - ICVM 505, ICVM 306 E ICVM 117 (CONFLITO DE INTERESSE) CONTA MARGEM CUSTÓDIA DE ATIVOS - ICVM 542 - 4373/2014 - Manter ativos em contas individualizadas em nome de cada cliente. - Manter sistema de controle de custódia que permita controlar saldos e movimentações. - Movimentar ativos somente mediante instrução formal do cliente, exceto aquelas relacionadas às ordens do cliente. - Conciliar saldos e movimentações registrados em contas de custódia com registros da Central Depositária da B3 e tomar providências em casos de divergência. - Enviar extrato de custódia sempre que solicitado, ao final de cada mês ou quando houver movimentação (mínimo uma vez por ano). - Vedar a transferência de titularidade, no exterior, de títulos pertencentes a investidor não residente. - Segregar fisicamente a custódia da administração de recursos e das mesas de operações. - CMN 3380 - CMN 3464 - CMN 3721 - CMN 4090 - REGULAMENTO DE OPERAÇÕES E MANUAIS DE PROCEDIMENTOS OPERACIONAIS DA BM&FBOVESPA GERENCIAMENTO DE RISCOS - Manter procedimentos para definição de limites operacionais e de exposição ao risco de cada cliente e monitorar a sua utilização intradia. - Estabelecer mecanismos de gerenciamento de riscos intradia a que está exposto perante cada cliente, abrangendo posições em aberto e movimentações diárias. - Monitorar as obrigações dos clientes, visando a liquidação de operações e o atendimento às chamadas de margem em tempo hábil. - Orientar os clientes acerca dos procedimentos, horários e limites a serem observados na transferência de ativos para cobertura de margem. - Implantar e monitorar os parâmetros mínimos definidos pela Bolsa nas ferramentas de gestão de risco pré-negociação. 1213 VERIFICAÇÕES DA AUDITORIA DE COMPLIANCE REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Manter sistema de controles internos. - Emitir relatório semestral de controles internos e enviá-lo formalmente ao Diretor de Auditoria da BM&FBOVESPA. O relatório deve contemplar o Roteiro Básico. - Enquadrar-se nos requisitos financeiros da sua categoria de atuação. - Indicar Diretor de Compliance que não seja Diretor de Operações e de Relações com o Mercado. - Manter mecanismos para assegurar o sigilo das informações dos investidores. - Manter canal de relacionamento para receber, registrar e gerenciar reclamações e dúvidas. - Certificar profissionais de acordo com os requisitos estabelecidos pela BM&FBOVESPA, sendo pelo menos um profissional com certificação de risco e um com certificação de compliance. - Credenciar todos os operadores e agentes autônomos de investimento na BM&FBOVESPA. - Dispor de mecanismos de controle que identifique, mitigue e monitore os riscos relacionados à lavagem de dinheiro, incluindo: identificação e cadastro de clientes, origem e destino de recursos e compatibilidade das operações com a situação econômico financeira e patrimonial do cliente. - Dispensar especial atenção às seguintes situações: operações com valores incompatíveis com ocupação profissional e situação econômico-financeirae patrimonial, operações entre partes nas quais se verifique ganhos ou perdas recorrentes a favor de uma delas, operações com variação significativa de volume e frequência, operações que dificultem a identificação dos envolvidos, operações em nome de terceiros, operações com mudanças repentinas e injustificadas e sem fundamento econômico, operações com liquidação em espécie, operações entre partes não cooperantes segundo o Coaf, operações com complexidade e risco incompatíveis com a experiência do cliente e transferências referentes a liquidação e prestação de garantias de/para terceiros. - CMN 2554 - ICVM 505 - CMN 4090 (SIGILO DAS INFORMAÇÕES) - OC 008/2014 (CERTIFICAÇÃO DE PROFISSIONAIS) - LEI 9613 - ICVM 301 - CIRCULAR BACEN 3461 INTEGRIDADE PREVENÇÃO À LAVAGEM DE DINHEIRO 1314 VERIFICAÇÕES DA AUDITORIA DE COMPLIANCE REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Fiscalizar as atividades dos agentes autônomos de investimento (AAI) e estender a estes a aplicação de regras, procedimentos e controles internos adotados pelo participante. - Manter sistema de registro das ordens recebidas pelos AAIs, qualquer que seja o meio de transmissão da ordem (gravação telefônica, registro por escrito etc.). - Manter contrato com os AAIs e verificar a regularidade do registro destes (o AAI, pessoa física ou jurídica, deve ter registro na CVM e pode ter vínculo contratual com um único participante; e o AAI pessoa jurídica somente pode ter como sócios pessoas físicas que exerçam a atividade de AAI com exclusividade). - Respeitar as vedações previstas na regulamentação: utilizar senhas de clientes, enviar extratos de confecção própria e atuar como procurador ou administrador de carteira. - Efetuar pagamentos diretamente para a pessoa física ou jurídica vinculada contratualmente. - Comunicar aos clientes apresentados por AAIs o seu regime de atuação, limites e vedações. - No caso de rescisão contratual, manter o registro das atividades do AAI por cinco anos. - No caso de novo contrato, respeitar o prazo de 60 dias para transferência de um participante para outro. - Possuir procedimentos que assegurem a quantidade máxima de cotas por cotista (40%) e o número mínimo (3) e máximo (50) de cotistas por clube. - Manter sistema de controle que assegure que, pelo menos, 67% estejam investidos em ações, bônus de subscrição, debêntures conversíveis em ações, recibos de subscrição, cotas de fundos de índice de ações e certificados de depósito de ações. - Enviar à B3 informações requeridas com periodicidade definida. - Não realizar operações fora dos mercados autorizados, adquirir títulos ou valores mobiliários de emissão de administrador, gestor ou empresas a eles ligadas, assim como cotas de fundos administrados ou geridos por estes. - Manter procedimentos e canais de comunicação para envio de informações aos cotistas. - ICVM 497 - OC 053/2012 - ICVM 494 - OC 028/2012 - REGULAMENTO DE CLUBES DE INVESTIMENTO DA B3 AGENTE AUTÔNOMO DE INVESTIMENTO CLUBES DE INVESTIMENTO 1415 VERIFICAÇÕES DA AUDITORIA DE COMPLIANCE REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Ter e difundir política de segurança de informações que defina, no mínimo, a confidencialidade e a integridade de informação, responsabilidade do uso de senha, utilização da Internet, correio eletrônico e softwares, concessão e administração de acesso a sistemas, bases de dados e rede, e segurança física dos ambientes de operação e processamento. - Manter segurança da rede, arquivos, bases de dados e sistema de tráfego de informações para garantir o sigilo e integridade das informações dos clientes. - Armazenar deforma criptografada senhas de acesso que atendam aos parâmetros de tamanho mínimo (6), caracteres, tempo de expiração (45 dias), número de tentativas antes de bloqueio (3) e histórico mínimo de senhas usadas (6). - Manter trilhas que assegurem a rastreabilidade dos eventos, incluindo: identificação do usuário, data e horário, tipo de evento (inclusão, alteração e exclusão). - Possuir certificação digital emitido por entidade certificadora e em conformidade com padrões mínimos de segurança para o canal de relacionamento com clientes. - Monitorar a rede para impedir acessos indevidos. - Manter CPD em ambiente exclusivo e controlado (incêndio, temperatura e energia alternativa). - ICVM 380 - ICVM 505 - OC 021/2008-DP - OC 030/2010-DP - OC 053/2012 - OC 003/2013-DP - OC 066/2013-DP - OC 042/2014-DP SEGURANÇA DA INFORMAÇÃO CONTINUIDADE DE NEGÓCIOS - ICVM 380- Desenvolver, implantar e testar plano de continuidade cujos objetivos mínimos sejam assegurar: (liquidação com a BM&FBOVESPA) recebimento e pagamento de valores de liquidação, entrega e recebimento de ativos, depósito de garantias e atendimento às chamas de margem; (liquidação com clientes) comunicação com clientes, Bolsa, agente de custódia, membro de compensação e banco liquidante e monitoramento de entrada e saída de recursos. - (Sistema de recebimento de ordens pela Internet) – Estabelecer planos de continuidade para preservar o atendimento de clientes em caso de suspensão dos serviços de Internet. 1516 - ICVM 380 - CVM 505/2011 - OC 078/2010 - OC 053/2012 MONITORAMENTO E OPERAÇÃO DA INFRAESTRUTURA - Monitorar o sistema de negociação eletrônica para assegurar nível de disponibilidade compatível com a regulação. - Manter procedimentos documentados de backup de dados necessários para garantir a disponibilidade das informações. - Monitorar a execução de rotinas de backup, testar a integridade e a recuperação das informações em cópia de segurança (armazenada em local externo às instalações principais). - Monitorar a capacidade e disponibilidade da rede, canais de comunicação e bancos de dados. 1617 17 VERIFICAÇÕES DA AUDITORIA DE COMPLIANCE REGRAS E NORMAS RELACIONADAS TEMA OU PROCESSO DE COMPLIANCE - Dispor de controles para o gerenciamento de mudanças de software, hardware e infraestrutura. - Dispor de controles para o desenvolvimento, manutenção e aquisição de software. - Realizar manutenções e atualizações técnicas e se segurança periódicas. GERENCIAMENTO DE MUDANÇAS - CVM 505/2011 - OC 053/2012 SUPORTE DE INFRAESTRUTURA - Adotar providências de manutenção periódica e monitoramento de sistemas de gravação das ordens recebidas, abrangendo todas as formas de recebimento de ordens utilizada pelo participante, de que são exemplos: telefone, e-mail, mensageria eletrônica e presencial. - Monitorar o SLA (Service Level Agreement) de atendimento e resolução de problemas. - Inventariar, homologar e possuir licença de todos os softwares e equipamentos de informática. - Possuir software de antivírus em todos os servidores e estações de trabalho. 18 EXPEDIENTE 18 Texto [ B ] 3 Apoio Técnico Patrícia Guedes Gerência de Certificação e Educação Continuada Ricardo Nardini Superintendência de Educação e Informações Técnicas Ana Claudia Leoni Superintendência geral José Carlos Doherty Copyright © 2017 Todos os direitos reservados. É proibida a reprodução total ou parcial sem autorização da ANBIMA. ANBIMA - Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais Av. República do Chile, 230 - 13° andar CEP: 20031-919 - Rio de Janeiro - RJ Tel: (21) 3814-3800 / Fax: (21) 3814-3960 Av. das Nações Unidas, 8.501 -21º andar CEP: 05425-070 - São Paulo - SP Tel: (11) 3471-4200 / Fax: (11) 3471- 4240 http://www.anbima.com.br/pt_br/educar/educar.htm 19
Compartilhar