A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 22 de novembro de 2022, com base nos arts. 6º e 7º, inciso III, da Lei nº 11.795, de 8 de outubro de 2008, 9º, incisos II e IX, alínea "b", e 15 da Lei nº 12.865, de 9 de outubro de 2013,

Resolve:

CAPÍTULO I DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Resolução dispõe sobre os sistemas de controles internos das administradoras de consórcio e das instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

CAPÍTULO II DOS SISTEMAS DE CONTROLES INTERNOS

Seção I Da Obrigatoriedade e dos Objetivos

Art. 2º As administradoras de consórcio e as instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil devem implementar e manter sistemas de controles internos compatíveis com a sua natureza, o seu porte, a sua complexidade, a sua estrutura, o seu perfil de risco e o seu modelo de negócio.

Art. 3º Os sistemas de controles internos devem ter como finalidade o atingimento dos objetivos de:

I - desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas;

II - informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras, operacionais e gerenciais, que sejam úteis para o processo de tomada de decisão; e

III - conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e códigos internos.

Seção II Das Características Essenciais

Art. 4º Os sistemas de controles internos devem:

I - ser contínuos e efetivos, abrangendo as atividades de controle para todos os níveis de negócios e para todos os riscos aos quais a administradora de consórcio ou a instituição de pagamento está exposta;

II - integrar as atividades rotineiras das áreas relevantes da administradora de consórcio ou da instituição de pagamento; e

III - ser revisados e atualizados periodicamente.

Art. 5º Os sistemas de controles internos devem prever:

I - quanto aos aspectos relacionados à cultura de controle:

a) definição das responsabilidades dos funcionários nos sistemas de controles internos e dos respectivos meios para o seu eficaz cumprimento;

b) obrigatoriedade de comunicação tempestiva ao adequado nível gerencial, por parte dos funcionários, de:

1. problemas nas operações;

2. situações de não conformidade com os padrões de conduta definidos pela administradora de consórcio ou pela instituição de pagamento; e

3. violações das políticas da administradora de consórcio ou da instituição de pagamento ou de disposições legais e regulamentares;

c) proibições de estabelecimento de metas de desempenho que incentivem a tomada de riscos em desacordo com os níveis determinados pela alta administração;

d) formalização do compromisso com a ética e com a integridade, incluindo o cumprimento do código de ética ou de documento equivalente; e

e) divulgação do código de ética ou documento equivalente;

II - quanto aos aspectos relacionados à identificação e à avaliação de riscos:

a) meios para identificar e avaliar continuamente os fatores internos e externos que possam afetar adversamente a realização dos objetivos da administradora de consórcio ou da instituição de pagamento e, quando aplicável, do grupo econômico que integre;

b) revisão e atualização periódica dos sistemas de controles internos, com a inclusão de medidas relacionadas a riscos novos ou não abordados anteriormente;

c) medidas para mitigação dos riscos não tolerados e não controlados; e

d) análise do potencial de ocorrência de fraudes nas atividades desenvolvidas em todos os níveis de negócios;

III - quanto aos aspectos relacionados às atividades de controle e segregação de funções:

a) políticas e procedimentos de controle, bem como a verificação do seu cumprimento;

b) revisão e acompanhamento de atividades relevantes pelos adequados níveis gerenciais;

c) controles de atividades apropriados para os diferentes departamentos ou áreas de negócios;

d) controles físicos de ativos de valor, como acesso restrito, dupla custódia e inventários periódicos;

e) verificação do cumprimento dos limites de exposição e acompanhamento das situações de não conformidade;

f) sistema de aprovações e autorizações de transações sensíveis e de verificação e reconciliação;

g) segregação apropriada das funções atribuídas aos integrantes da administradora de consórcio ou da instituição de pagamento, de forma a evitar situações de conflito de interesses;

h) identificação e monitoramento independentes de áreas que possuam potencial conflito de interesses, com revisão periódica das responsabilidades e das funções que possam gerar conflitos dessa natureza;

i) controles que visem a evitar o envolvimento da administradora de consórcio ou da instituição de pagamento em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos;

j) procedimentos e controles previstos na legislação e regulamentação vigentes, visando à prevenção da utilização do sistema financeiro para a prática dos crimes de "lavagem" ou ocultação de bens, direitos e valores, e de financiamento do terrorismo; e

k) controles para prevenção, detecção, investigação e correção de fraudes;

IV - quanto aos aspectos relacionados à informação e à comunicação:

a) canais de comunicação efetivos que assegurem aos funcionários, segundo o correspondente nível de atuação, o acesso a informações compreensíveis, confiáveis, tempestivas e relevantes para realização de suas tarefas e cumprimento de suas responsabilidades;

b) fluxos de informações adequados para que os objetivos, estratégias, expectativas, políticas e procedimentos estabelecidos pelos superiores cheguem aos funcionários e as informações relevantes sejam compartilhadas entre os componentes organizacionais;

c) metodologias para o registro e a manutenção de informações internas à administradora de consórcio ou à instituição de pagamento, como dados financeiros, operacionais e de conformidade;

d) diretrizes para a utilização de fontes externas de informações e para a divulgação ao público externo sobre eventos e condições de mercado relevantes para a tomada de decisão;

e) sistemas de informação confiáveis e as respectivas medidas de segurança e monitoramento independente para sua manutenção;

f) requisitos relacionados ao adequado processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada;

g) testes periódicos de segurança para os sistemas de informações e de tecnologia; e

h) planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da administradora de consórcio ou da instituição de pagamento em decorrência de eventos fora do seu controle, com previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por terceiros; e

V - quanto aos aspectos relacionados ao monitoramento:

a) monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da administradora de consórcio ou da instituição de pagamento;

b) avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da administradora de consórcio ou da instituição de pagamento;

c) acompanhamento sistemático das atividades desenvolvidas, para avaliar, no mínimo, se:

1. os objetivos da administradora de consórcio ou da instituição de pagamento estão sendo alcançados;

2. os limites estabelecidos e a legislação e regulação vigentes aplicáveis estão sendo cumpridos; e

3. eventuais desvios identificados estão sendo prontamente corrigidos;

d) atualização de premissas, das metodologias e dos modelos de gestão de riscos; e

e) metodologia e canais de relato sobre deficiências nos controles internos aos responsáveis, à diretoria e ao conselho de administração, quando existente, no caso de falhas materiais.

Seção III Dos Relatórios Periódicos

Art. 6º O acompanhamento sistemático das atividades relacionadas com os sistemas de controles internos deve ser objeto de relatório anual, contendo:

I - a avaliação sobre a adequação e a efetividade dos sistemas de controles internos;

II - as recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento, quando for o caso; e

III - a manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las.

Parágrafo único. O relatório de que trata o caput deve:

I - ser submetido ao conselho de administração ou, se inexistente, à diretoria, bem como às auditorias interna e externa da administradora de consórcio ou da instituição de pagamento; e

II - permanecer à disposição do Banco Central do Brasil pelo prazo de cinco anos.

CAPÍTULO III DA RESPONSABILIDADE DA ADMINISTRAÇÃO

Art. 7º O conselho de administração e a diretoria devem se envolver ativamente na definição dos sistemas de controles internos, mediante:

I - a promoção de elevados padrões éticos e de integridade;

II - o estabelecimento de cultura organizacional com ênfase na relevância dos sistemas de controles internos e no engajamento de cada funcionário no processo de controle interno;

III - a manutenção de estrutura organizacional adequada para garantir a qualidade e a efetividade dos sistemas e processos de controles internos; e

IV - a garantia de recursos adequados e suficientes para o exercício das atividades relacionadas aos sistemas de controles internos, de forma independente, objetiva e efetiva.

Art. 8º O conselho de administração é responsável por garantir que:

I - a diretoria da administradora de consórcio ou da instituição de pagamento tome as medidas necessárias para identificar, medir, monitorar e controlar os riscos de acordo com os níveis de riscos definidos;

II - as falhas identificadas sejam tempestivamente corrigidas;

III - a diretoria da administradora de consórcio ou da instituição de pagamento monitore a adequação e a eficácia dos sistemas de controles internos; e

IV - os sistemas de controles internos sejam implementados e mantidos de acordo com o disposto nesta Resolução.

Parágrafo único. Para as instituições que não possuam conselho de administração, as responsabilidades previstas no caput devem ser imputadas à diretoria da administradora de consórcio ou da instituição de pagamento.

Art. 9º A diretoria da administradora de consórcio ou da instituição de pagamento é responsável por:

I - implementar as diretrizes relativas aos sistemas de controles internos aprovadas pelo conselho de administração; e

II - monitorar a adequação e eficácia dos sistemas de controle interno.

Art. 10. As administradoras de consórcio e as instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil devem designar perante o Banco Central do Brasil diretor responsável pelo cumprimento do previsto nesta Resolução.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na administradora de consórcio ou na instituição de pagamento, desde que não haja conflito de interesses.

CAPÍTULO IV DISPOSIÇÕES GERAIS

Art. 11. O Banco Central do Brasil poderá:

I - determinar a adoção de controles adicionais nos casos em que constatada inadequação nos controles implementados pelas administradoras de consórcio e pelas instituições de pagamento; e

II - imputar limites operacionais mais restritivos às administradoras de consórcio e instituições de pagamento que deixem de observar determinação nos termos do inciso I no prazo para tanto estabelecido.

Art. 12. Ficam revogados:

I - a Circular nº 3.078, de 10 de janeiro de 2002;

II - a Circular nº 3.856, de 10 de novembro de 2017; e

III - o inciso III do art. 25 da Resolução BCB nº 80, de 25 de março de 2021.

Art. 13. Esta Resolução entra em vigor em:

I - 1º de janeiro de 2024, em relação ao art. 10; e

II - 1º de janeiro de 2023, em relação aos demais artigos.

OTÁVIO RIBEIRO DAMASO

Diretor de Regulação