Exigência de um SCI às Instituições de Crédito

O Aviso 5/2008 do BdP resultou do compromisso do CNSF de eliminar a duplicação dos relatórios de controlo interno impostos pelas duas entidades de supervisão (BdP e CMVM) que adaptaram as sua estrutura, conteúdo e prazo de reporte para responder às novas exi- gências do aviso acima referido. Através da harmonização integral dos relatórios de con- trolo interno as instituições passaram a elaborar um relatório único. A iniciativa do CNSF, denominada Better Regulation, reforça a importância de um SCI adequado e eficaz para robustecer a estabilidade e a sobrevivência das instituições. Esta alteração incorpora a re- comendação do Aviso n.º 3/2006, de 9 de Maio, com vista à implementação de um SCI seguindo os conceitos reconhecidos, a nível internacional, emitidos pelo COSO e as orien- tações divulgadas pelo Comité das Autoridades Europeias de Supervisão Bancária de Basi- leia (CEBS), que deu origem à actual EBA.

As instituições devem seguir os Princípios aplicáveis aos sistemas de gestão de riscos do Art.º 11.º do Aviso 5/2008 do BdP. Estas exigências forçaram as instituições a seguirem metodologias para suportarem melhor as suas decisões, em Santander Totta (2013:66) se- guiu-se» uma metodologia própria desenvolvida para avaliar o alcance e efectividade dos controlos e processos de mitigação e perfil de risco, que se materializou num conjunto de testes ou verificações de requisitos formulados de forma específica para cada tipo de ris- co». Salienta-se que estes testes e requisitos basearam-se em recomendações, entre outras, da EBA e do COSO.

A CGD (2013a), por exemplo, suporta a gestão do SCI na metodologia e orientações reco- nhecidas como boas práticas, fazem parte dessa metodologia genérica as boas práticas de controlo interno COSO, já quanto aos sistemas de informação é seguida a framework Co- bit15 (“Control Objetives for Information and Related Technology”).

O RGICSF considera que, para exercerem a sua actividade, as instituições devem seguir as condições das alíneas do Art.º 14.º e que, entre outras, exige que os mecanismos que estão à disposição do controlo interno sejam adequados, desta exigência constam ainda procedi- mentos contabilísticos e administrativos consistentes. A definição de SCI consta do Aviso 5/2008 no Art.º 2.º: «conjunto das estratégias, sistemas, processos, políticas e procedimen-

15 _{Modelo que funciona como um guia de boas práticas aplicadas às Tecnologias de Informação (TI). Esta} framework possibilita que a gestão compreenda e controle os seus sistemas de TI que irão auxiliar a atingir os

tos definidos pelo órgão de administração, bem como das acções empreendidas por este órgão e pelos restantes colaboradores da instituição».

Um SCI visa garantir os seguintes três objectivos:

 Desempenho - garantir eficiência e rentabilidade da actividade no médio e longo prazo, este objectivo visa a utilização eficaz dos recursos e activos, a continuidade e sobrevivência da instituição. Para um bom desempenho da instituição há que: assegurar que a gestão é adequada; os riscos da actividade são controlados; uma avaliação dos activos e responsabilidades prudente e adequada; implementar mecanismos para proteger os activos de utilizações não autorizadas, descuidadas ou intencionais.

 Informação – para suportar as tomadas de decisão e processos de controlo, ao nível interno e externo, deve ser garantido que exista uma informação finan- ceira e de gestão, tempestiva, fiável, completa, pertinente.

 Compliance – as disposições legais e regulamentares devem ser cumpridas, estas disposições aplicam-se a várias situações: prevenção e branqueamento de capitais e do financiamento do terrorismo; relacionamentos com clientes e regras de conduta; orientações, normas e usos profissionais e deontológicos; orientações aos órgãos sociais; seguir as recomendações do Comité de Super- visão Bancária de Basileia e do CEBS para evitar que a instituição sofra san- sões e a reputação da instituição seja atingida.

No Art.º 3.º do Aviso 5/2008 define-se a base que um SCI deve ter para que os objectivos anteriormente referidos sejam cumpridos: um adequado ambiente de controlo; um sólido sistema de gestão de riscos; um eficiente sistema de informação e comunicação; e um efec- tivo processo de monitorização. No n.º 2 deste artigo menciona-se que o SCI deve ser apli- cado de forma consistente em todos os estabelecimentos da instituição.

A implementação de um SCI adequado e eficaz é da responsabilidade do órgão de adminis- tração, os recursos humanos devem ser suficientes, adequados e com formação de modo a cumprirem as tarefas, a administração deve definir na sua estratégia os objectivos e princí- pios subjacentes ao SCI com as respectivas competências devidamente documentadas.

da da natureza e da magnitude dos riscos, implícitos à actividade da instituição, de modo a implementar uma adequada estratégia e a atingir os objectivos da mesma (Aviso 5/2008 Art.º 10.º n.º 1). Ainda segundo o Aviso 5/2008 é necessário existir um processo de contro- lo de riscos (Art.º 15.º) para assegurar que os objectivos definidos são atingidos e respon- der aos riscos, previamente identificados, de uma forma eficiente e eficaz. No sentido de prevenirem situações não autorizadas as instituições devem definir políticas e procedimen- to para assegurar que, de uma forma tempestiva, essas situações sejam detectadas quando ocorram e sejam adoptadas medidas correctivas.

Para que estas medidas sejam adequadas e eficazes há que garantir que existe (Aviso 5/2008, Art.º 15.º n.º 2):

 Exigência de recolha e manutenção de documentação que suporte, de uma forma clara e objectiva, as decisões e as operações realizadas, devendo estas ser acessíveis e claras para terceiros;

 Devem existir formulários padrão e tipificação clara e objectiva dos elemen- tos necessários;

 Certos requisitos são necessários quando se aprovam ou renovam operações e devem ser bem definidos, claros e ajustados aos riscos. Esses requisitos de- vem ser reforçados no caso de entidades relacionadas;

 Em certas operações (operações de crédito e de mercado) deve existir um grau adequado de segregação de funções;

 O acesso a activos, a recursos e à informação deve ser restrito, devendo exis- tir restrições de segurança (barreiras físicas ou informáticas) a pessoas não autorizadas;

 O reporte deve ser obrigatório sempre que ocorram desvios, fraudes, erros ou incumprimentos;

 Indicadores de alerta;

 Na actividade desenvolvida devem ser impostos limites objectivos e pruden- tes para cada um dos riscos incorridos;

 Verificações e reconciliações periódicas das operações registadas;

 Com uma periodicidade adequada devem ser implementados métodos ade- quados de valorização dos activos, passivos e elementos extrapatrimoniais;

Anualmente, no âmbito do Aviso n.º5/2008, do Banco de Portugal e do Regulamento n.º 3/2008, da CMVM, o órgão de administração emite um relatório sobre o SCI, o qual incor- pora as questões identificadas pela auditoria interna, pelo compliance e pela área de gestão de riscos, que é enviado às entidades de supervisão.