A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 11 de setembro de 2009, com base nos arts. 10, inciso IX, da Lei nº 4.595, de 31 de dezembro de 1964, 6º e 7º da Lei nº 11.795, de 8 de outubro de 2008, 13 da Resolução nº 2.682, de 21 de dezembro de 1999, e 46 da Resolução nº 3.442, de 28 de fevereiro de 2007, decidiu:
Art. 1º O relatório de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos, elaborado como resultado do trabalho de auditoria independente, conforme previsto no art. 21, inciso II, do Regulamento anexo à Resolução nº 3.198, de 27 de maio de 2004, e no art. 13, inciso II, do Regulamento anexo à Circular nº 3.192, de 5 de junho de 2003, deve abranger os seguintes aspectos relevantes, observada a natureza, complexidade e risco das operações realizadas pela instituição auditada:
I - ambiente de controle;
II - identificação e avaliação de riscos;
III - controles;
IV - informações e comunicações;
V - monitoramento e aperfeiçoamento; e
VI - deficiências identificadas.
§ 1º É obrigatória a elaboração de relatório que contemple todos os aspectos descritos no caput em trabalho de auditoria independente realizado em:
I - bancos múltiplos, bancos comerciais, bancos de desenvolvimento, bancos de investimento e caixas econômicas;
II - demais instituições autorizadas a funcionar pelo Banco Central do Brasil obrigadas a constituir comitê de auditoria nos termos do art. 10 do Regulamento anexo à Resolução nº 3.198, de 2004.
§ 2º Para as administradoras de consórcio, cooperativas de crédito e demais instituições financeiras não enquadradas no § 1º, o relatório mencionado no caput deve abordar obrigatoriamente a descrição dos controles referidos no inciso III, sem prejuízo de relato sobre os demais aspectos estabelecidos neste artigo, quando relevantes.
Art. 2º A descrição dos aspectos relativos ao ambiente de controle previsto no art. 1°, inciso I, deve abordar a cultura de controles da instituição, incluindo, pelo menos, os seguintes elementos:
I - compromisso com a ética e a integridade: existência de evidência de compromisso da administração da instituição com a ética e a integridade, incluindo, mas não se limitando ao estabelecimento de um código de ética e sua divulgação dentro da organização;
II - competência técnica: existência de evidência apresentada pela administração da instituição quanto aos critérios adotados para seleção e avaliação dos profissionais de seu quadro funcional;
III - políticas institucionais: existência de evidências de tais políticas, bem como de processos que garantam a sua divulgação dentro da organização;
IV - estrutura de gerenciamento de riscos, controles internos e auditoria interna: existência de estrutura organizacional voltada para o gerenciamento desses aspectos e de outros correlatos, eventualmente presentes na instituição, com indicação de, pelo menos, seus níveis hierárquicos;
V - envolvimento da alta administração com as questões de controle interno e gestão de riscos: existência de evidências quanto ao envolvimento da administração relativamente a tais questões; e
VI - política de treinamento e conscientização do corpo funcional a respeito dos riscos e controles internos: existência de política formal de treinamento e sua abrangência.
Art. 3º A descrição dos aspectos relativos à identificação e avaliação de riscos referidas no art. 1°, inciso II, deve abordar os processos para identificação e avaliação de fatores internos e externos que possam prejudicar o alcance dos objetivos da organização, incluindo, pelo menos, os seguintes elementos:
I - processos de identificação e mensuração dos riscos de mercado, de crédito e operacional; e
II - processos de validação dos modelos de precificação e testes de estresse.
Art. 4º A descrição dos aspectos relativos aos controles referidos no art. 1°, inciso III, deve abordar as atividades de acompanhamento sistemático, de forma a permitir a avaliação de cumprimento dos objetivos da instituição, dos limites estabelecidos e das leis e regulamentos aplicáveis, bem como assegurar a pronta correção de desvios, incluindo, pelo menos, os seguintes elementos:
I - políticas e procedimentos a respeito da segregação de atividades, de modo a evitar conflitos de interesse e acúmulo de funções incompatíveis;
II - políticas de autorizações específicas e gerais;
III - normas para elaboração dos relatórios contábeis e administrativos;
IV - processos de revisão e conciliação contábil, bem como procedimentos de inspeção física periódica em ativos da instituição;
V - procedimentos de controle relativos ao gerenciamento de riscos, incluindo identificação e quantificação, reconciliação de posições, estabelecimento e controle de limites de exposição e elaboração de relatórios de posições detidas pela instituição;
VI - segurança física; e
VII - planos de contingência ou de continuidade.
Parágrafo único. A descrição mencionada no caput deve incluir controles que visem evitar o envolvimento da instituição em atividades indevidas ou ilícitas, em especial os procedimentos e controles para reconhecer, deter e informar atividades de lavagem de dinheiro e de financiamento ao terrorismo.
Art. 5º A descrição dos aspectos relativos a informações e comunicações referidas no art. 1°, inciso IV, deve abranger os canais que assegurem aos empregados, segundo o correspondente nível de atuação, o acesso a informações confiáveis, tempestivas e compreensíveis consideradas relevantes para suas tarefas e responsabilidades, incluindo, pelo menos, os seguintes elementos:
I - segurança dos sistemas contábeis e integração dos sistemas informatizados com os registros contábeis da instituição; e
II - processo de divulgação, em todos os níveis da organização, das políticas de controles internos.
Art. 6º A descrição dos aspectos relativos ao monitoramento e aperfeiçoamento referidos no art. 1°, inciso V, deve abordar os processos de revisão e de atualização dos controles internos, de forma a garantir a incorporação de medidas relacionadas a riscos novos ou a riscos existente mas não considerados, incluindo, pelo menos, os seguintes elementos:
I - atualização de premissas, das metodologias e dos modelos de gestão de riscos;
II - atribuições da auditoria interna relativas aos controles internos, à gestão de riscos e à frequência dos trabalhos de auditoria nos últimos doze meses;
III - atividades de monitoramento contínuo realizadas durante o desenvolvimento das operações; e
IV - testes periódicos de segurança dos sistemas de informações, em especial dos mantidos em meio eletrônico.
Art. 7º O relatório de descumprimento de dispositivos legais e regulamentares, previsto no art. 21, inciso III, do Regulamento anexo à Resolução nº 3.198, de 2004, e no art. 13, inciso III, do Regulamento anexo à Circular nº 3.192, de 2003, pode ser apresentado como parte do relatório de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos.
Art. 8º Na elaboração dos relatórios mencionados nos arts. 1º e 7º, devem ser observadas, nos aspectos não conflitantes com a regulamentação estabelecida pelo Conselho Monetário Nacional e pelo Banco Central do Brasil, as normas e procedimentos determinados pela Comissão de Valores Mobiliários (CVM), pelo Conselho Federal de Contabilidade (CFC) e pelo Instituto dos Auditores Independentes do Brasil (Ibracon).
Art. 9º Os relatórios mencionados nos arts. 1º e 7º devem ser emitidos até 45 (quarenta e cinco) dias após a data da publicação das demonstrações objeto da auditoria independente, ressalvadas as situações previstas no art. 26 da Resolução nº 3.442, de 28 de fevereiro de 2007.
Parágrafo único. As disposições deste artigo também se aplicam ao relatório objeto do art. 12 da Resolução nº 2.682, de 21 de dezembro de 1999.
Art. 10. As instituições referidas no art. 1º, ao contratarem ou substituírem serviços de auditoria independente de que tratam os arts. 1º do Regulamento anexo à Resolução nº 3.198, de 2004, e 1º do Regulamento anexo à Circular nº 3.192, de 2003, devem registrar no Sistema de Informações sobre Entidades de Interesse do Banco Central (Unicad), no prazo máximo de 10 (dez) dias contados da contratação ou substituição, os seguintes dados cadastrais do auditor:
I - nome;
II - endereço;
III - número de inscrição no Cadastro de Pessoas Físicas (CPF) ou no Cadastro Nacional de Pessoa Jurídica (CNPJ); e
IV - ato declaratório de registro do auditor independente na CVM.
§ 1º Os dados relativos ao auditor contratado devem ser mantidos atualizados no Unicad, observado o prazo estabelecido no caput.
§ 2º A documentação relativa à substituição do auditor deve conter os motivos que determinaram a decisão e a ciência do auditor substituído, o qual, na hipótese de não conformidade, deve apontar as justificativas de sua discordância.
§ 3º A documentação a que se refere o § 2º deve ser mantida na instituição à disposição do Banco Central do Brasil pelo prazo de 5 (cinco) anos.
§ 4º As disposições deste artigo se aplicam também, no que couber, à substituição periódica do responsável técnico pela auditoria de cooperativa de crédito, quando a auditoria de demonstrações contábeis for realizada por entidade de auditoria cooperativa de que trata o art. 23 da Resolução nº 3.442, de 2007.
Art. 11. Os dados relativos ao diretor responsável pelo acompanhamento, supervisão e cumprimento das normas e procedimentos de contabilidade e de auditoria, designado na forma dos arts. 5º do Regulamento anexo à Resolução nº 3.198, de 2004, e 5º do Regulamento anexo à Circular nº 3.192, de 2003, devem ser registrados no prazo de 10 (dez) dias contados da data da nomeação e mantidos atualizados no Unicad.
§ 1º A informação referida no caput deve ser complementada por declaração firmada pelo diretor responsável pelo acompanhamento, supervisão e cumprimento das normas e procedimentos de contabilidade e de auditoria, na qual deve constar que:
I - está ciente de suas obrigações; e
II - é responsável pelas atribuições previstas nos arts. 5º do Regulamento anexo à Resolução nº 3.198, de 2004, e 5º do Regulamento anexo à Circular nº 3.192, de 2003.
§ 2º A declaração a que se refere o § 1º deve ser mantida na instituição à disposição do Banco Central do Brasil pelo prazo de 5 (cinco) anos.
Art. 12. O diretor responsável pelo acompanhamento, supervisão e cumprimento das normas e procedimentos de contabilidade e de auditoria, quando convocado pelo Banco Central do Brasil, deve comparecer acompanhado pelo auditor independente ou pelo responsável técnico pela entidade de auditoria cooperativa de que trata o § 1º do art. 23 da Resolução nº 3.442, de 2007.
Art. 13. O Banco Central do Brasil, em função de fatos constatados nas instituições referidas no art. 1°, pode, sem prejuízo de outras medidas previstas na legislação e na regulamentação vigentes:
I - exigir a prestação de informações e esclarecimentos adicionais;
II - determinar a realização de exames complementares; e
III - determinar que o trabalho executado por auditor independente ou por entidade de auditoria cooperativa seja revisado por outro auditor.
Art. 14. Os relatórios de que tratam os arts. 1º e 7º devem ser elaborados na forma estabelecida nesta circular a partir da data-base de 31 de dezembro de 2009.
Art. 15. Esta circular entra em vigor na data de sua publicação.
Art. 16. Fica revogada a Circular nº 2.676, de 10 de abril de 1996.
ALEXANDRE ANTONIO TOMBINI - Diretor
ANTONIO GUSTAVO MATOS DO VALE - Diretor