Aviso do Banco de Portugal n.º 3/2020
Sumário: Regula a cultura organizacional, governo interno, sistema de controlo interno e políticas e práticas remuneratórias das instituições destinatárias, procedendo à revisão e à revogação dos Avisos do Banco de Portugal n.º 5/2008 e n.º 10/2011, bem como à revogação da Instrução do Banco de Portugal n.º 20/2008. É complementado pela Instrução do Banco de Portugal n.º 18/2020, que versa sobre os reportes a efetuar à autoridade de supervisão competente relativamente às matérias tratadas no Aviso.
O exercício da atividade financeira envolve, incontornavelmente, a assunção de riscos de diversa natureza. Estes riscos, se não forem devidamente geridos podem comprometer a viabilidade e a sustentabilidade de uma instituição, com consequências negativas para a preservação da estabilidade financeira. Assim, o exercício desta atividade encontra-se sujeito a um conjunto de requisitos regulatórios de cariz prudencial, designadamente destinados a promover a adoção de comportamentos consonantes com a preservação da estabilidade financeira e com a proteção dos interesses dos depositantes e outros clientes.
Neste contexto, assume especial relevância a regulação da conduta e da cultura, do governo e da organização interna das entidades financeiras. Esta matéria é tratada pelo direito da União Europeia que se debruça sobre a regulação das instituições de crédito, que vem sendo transposto no ordenamento jurídico português através do Regime Geral das Instituições de Crédito e Sociedades Financeiras. Adicionalmente, e já em 2008, o Banco de Portugal emitiu o Aviso do Banco de Portugal n.º 5/2008, que regulamenta os sistemas de controlo interno das entidades supervisionadas, e o Aviso do Banco de Portugal n.º 10/2011, que regulamenta as políticas e práticas remuneratórias destas mesmas entidades.
Passados mais de dez anos sobre a entrada em vigor do Aviso do Banco de Portugal n.º 5/2008, afigura-se necessária a revisão das soluções dele constantes, à luz dos desenvolvimentos ao nível da legislação europeia e portuguesa sobre estas matérias, das orientações da Autoridade Bancária Europeia (EBA na sigla inglesa), das melhores práticas internacionais, da reflexão e experiência prática de supervisão acumuladas pelo Banco de Portugal, bem como por questões de certeza e segurança jurídica. Aproveita-se esta revisão para incorporar no presente Aviso as disposições do Aviso do Banco de Portugal n.º 10/2011, com o objetivo de tratar de forma integrada as diversas matérias de cultura organizacional e de governo e controlo interno, no sentido de promover uma visão integrada e holística das mesmas.
O disposto no presente Aviso deve ser interpretado e aplicado tendo em conta o enquadramento conferido pela legislação, regulamentação e orientações europeias e portuguesas sobre a matéria. Os conceitos utilizados no Aviso devem ser lidos, salvo quando referido o contrário, tendo em conta as definições que constam do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
Sem prejuízo dos requisitos definidos no presente Aviso, cada entidade é responsável pela decisão e implementação do modelo de organização interna que considere mais apropriado, atendendo ao princípio da proporcionalidade e às suas características e circunstâncias idiossincráticas. O presente Aviso, em conjunto com a lei, e atendendo às orientações da EBA relevantes, serve de enquadramento para essa escolha e implementação, estruturando-a, e realçando objetivos prudenciais essenciais que não podem ser descurados pelas entidades supervisionadas.
Assim, o presente Aviso trata (i) da conduta e cultura organizacional, (ii) do governo interno, estrutura organizacional e planeamento estratégico, (iii) do sistema de controlo interno e gestão de riscos, (iv) das partes relacionadas e conflitos de interesses, (v) da participação de irregularidades, (vi) da subcontratação das tarefas operacionais das funções de controlo interno e do sistema informático de suporte à participação de irregularidades, (vii) das políticas de seleção e designação de auditores externos, (viii) das políticas e práticas remuneratórias, (ix) dos grupos financeiros, (x) da autoavaliação pelas entidades reguladas das matérias nele previstas, e (xi) da documentação, sistematização de informação e divulgação de informação ao público.
Cada uma destas matérias é particularmente relevante para uma gestão sã e prudente da atividade pelas entidades supervisionadas, e o regime aplicável a cada uma delas encontra-se previsto em capítulo próprio.
A densificação no presente Aviso do tema da conduta e cultura organizacional justifica-se pela influência decisiva que tem sobre a forma como as entidades supervisionadas gerem a sua atividade. A este respeito é de destacar o relatório "Banking Conduct and Culture - A Permanent Mindset Change", elaborado pelo G30 e publicado em novembro de 2018, que refere que a conduta e a cultura organizacional resultam dos mecanismos internos que produzem os valores e os comportamentos que prevalecem na instituição e que conformam a conduta dos seus colaboradores, contribuindo para a criação de confiança nas instituições em geral e para que beneficiem de uma reputação positiva entre os diferentes grupos de interesses internos e externos.
De acordo com as orientações da EBA sobre governo interno (EBA/GL/2017/11), divulgadas através da Carta Circular do Banco de Portugal n.º CC/2018/00000016, o conceito de governo interno inclui todos os critérios e princípios relacionados com a forma como (i) são estabelecidos os objetivos, estratégias e sistema de gestão de riscos de uma instituição, (ii) os seus negócios se encontram organizados, (iii) as responsabilidades e linhas de autoridade são definidas e alocadas, (iv) as linhas de reporte se encontram configuradas, e (v) o sistema de controlo interno é organizado e implementado, incluindo os procedimentos contabilísticos e as políticas de remuneração. Abrange também os sistemas de produção de informação, a subcontratação e a gestão da continuidade do negócio.
Neste âmbito, realça-se que a escolha e a avaliação da adequação dos membros dos órgãos de administração e de fiscalização (individual e coletivamente), e dos titulares de funções essenciais, devem ser iniciadas de forma atempada e assentar numa identificação sustentada das necessidades concretas da entidade supervisionada, atendendo às suas características e circunstâncias específicas. Essas mesmas necessidades devem estar subjacentes à decisão quanto ao número de membros dos órgãos de administração e de fiscalização e à criação de comités de apoio a estes órgãos, assim se fomentando a gestão sã e prudente e uma fiscalização interna eficaz em cada instituição.
No que respeita aos responsáveis pelas funções de gestão de riscos, conformidade e auditoria interna, em linha com o disposto nas orientações da EBA sobre a avaliação da adequação dos membros dos órgãos de administração e dos titulares de funções essenciais (EBA/GL/2017/12), divulgadas através da Carta Circular do Banco de Portugal n.º CC/2018/00000018, no presente Aviso estabelece-se que a adequação para o exercício das respetivas funções é objeto de avaliação e autorização pela autoridade de supervisão competente, em momento anterior à sua entrada em funções, no caso de instituições de crédito identificadas pelo Banco de Portugal como outras instituições de importância sistémica (O-SII), nos termos do disposto no artigo 138.º-Q do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
De modo a reforçar as condições para que os auditores externos executem o seu trabalho com independência, isenção e objetividade, consagra-se a obrigatoriedade de as entidades supervisionadas adotarem políticas de seleção e designação de revisores oficiais de contas ou sociedades de revisores oficiais de contas, com um conteúdo mínimo que é consagrado no Aviso. Salienta-se, a este respeito, a necessidade de as instituições observarem também o disposto nas recomendações que venham a ser emitidas pelo Committee of European Auditing Oversight Bodies (CEAOB) sobre a matéria. Este tema é objeto de tratamento no presente Aviso na medida em que as políticas adotadas neste domínio pelas entidades supervisionadas se enquadram no seu governo interno, naturalmente sem prejuízo das competências de supervisão da atividade de auditoria atribuída à Comissão do Mercado de Valores Mobiliários.
No que concerne ao controlo interno, e conforme previsto no anterior Aviso do Banco de Portugal n.º 5/2008, importa ter presente que o ambiente de controlo das instituições reflete a sua atitude e as suas ações perante o controlo interno, resultantes (i) das convicções, preferências e juízos de valor manifestados pelo órgão de administração e pelos restantes colaboradores da instituição em relação ao sistema de controlo interno, e (ii) da ênfase colocada no controlo interno, nas medidas tomadas, nas políticas e procedimentos aprovados e na definição e implementação da estrutura organizacional.
O ambiente de controlo é influenciado, designadamente (i) pelo padrão de valores éticos seguido pela instituição, (ii) pela existência de meios materiais, técnicos e humanos suficientes e adequados, (iii) pelo grau de transparência da estrutura organizacional e da sua adequação face à complexidade, dimensão e natureza da atividade da instituição, (iv) pela clareza da cadeia hierárquica e das responsabilidades e competências atribuídas a cada função, (v) pela qualidade do processo de planeamento estratégico, e (vi) pelo grau de envolvimento do órgão de administração na atividade desenvolvida.
De forma a assegurar uma gestão sã e prudente, o processo de análise e de tomada de decisão nas entidades supervisionadas deve ser sensível ao risco, e assente em informação credível, completa e o mais atualizada possível.
O presente Aviso, tal como as orientações da EBA sobre governo interno (EBA/GL/2017/11), tem por base o modelo das três linhas de defesa do Institute of Internal Auditors, recentemente referidas pelo European Systemic Risk Board no relatório denominado "Macroprudential approaches to non-performing loans", publicado em janeiro de 2019 e pelo G30 no relatório denominado "Banking Conduct and Culture - A Permanent Mindset Change", publicado em novembro de 2018. Em traços gerais, o modelo das três linhas de defesa assenta na repartição de distintas responsabilidades em matéria de governo e gestão dos riscos pelas diferentes funções que integram cada uma das linhas as quais podem ser caracterizadas, sumariamente, da seguinte forma:
Primeira linha: as unidades geradoras de negócio e áreas conexas, que geram risco para a instituição e que são as primeiras responsáveis pela identificação, avaliação, acompanhamento e controlo dos riscos em que incorrem, nos termos do disposto no artigo 26.º do presente Aviso;
Segunda linha: as funções de suporte e de controlo que incluem, nomeadamente, as funções de gestão de riscos e de conformidade, as quais interagem com as funções da primeira linha com vista à adequada identificação, avaliação, acompanhamento e controlo dos riscos inerentes à atividade desenvolvida pelas funções da primeira linha, nos termos do disposto nos artigos 27.º e 28.º do presente Aviso;
Terceira linha: a função de auditoria interna, que realiza análises independentes e orientadas para o risco, nos termos do disposto no artigo 32.º do presente Aviso.
Tendo presente estas três linhas de defesa, as entidades supervisionadas devem atender às suas especificidades ao desenvolver os seus sistemas de controlo interno, podendo, por exemplo, desdobrar as linhas de defesa em diversas funções dentro da entidade supervisionada.
Em todo o caso, devem ser sempre salvaguardadas duas premissas fundamentais: a primeira é que todas as unidades tomadoras de risco são as responsáveis pela sua gestão primária, para o que é essencial garantir que estabelecem os mecanismos necessários e adequados para o efeito e que interagem eficazmente com a segunda linha de defesa com vista a esse fim. A segunda é que, independentemente do modelo de gestão de riscos adotado, deverá ser sempre assegurado que a função de gestão de riscos tem uma visão agregada e holística sobre todos os riscos inerentes à atividade da instituição.
Importa referir que, para efeitos do presente Aviso, apenas correspondem a funções de controlo interno as funções de gestão de riscos, de conformidade e de auditoria interna e a função de controlo do cumprimento do quadro normativo prevista no artigo 7.º do Aviso do Banco de Portugal n.º 2/2018, sempre que se encontre segregada da função de conformidade.
Quanto a estas, o Aviso consagra os requisitos necessários para garantir a sua independência organizacional. Em particular, realça-se a regra, com exceções, de que estas funções devem ser estabelecidas em unidades de estrutura distintas das unidades que desenvolvem atividades que têm por dever monitorizar e controlar e em unidades de estrutura autónomas e independentes entre si. No entanto, embora as entidades supervisionadas devam promover a independência das funções de controlo interno face a objetivos de negócio, não devem impedir interações virtuosas entre as várias linhas de defesa. O objetivo último deve ser sempre o funcionamento eficiente e harmonioso do sistema de controlo interno, assente num ambiente de controlo adequado, que envolva todos os colaboradores, cada um dos quais ciente do papel que desempenha no sistema em causa.
Ainda no que respeita às funções de controlo interno, importa salientar que o presente Aviso consagra a obrigatoriedade de disporem de acesso direto aos órgãos de administração e de fiscalização e aos comités de apoio àqueles órgãos quando constituídos. Com esta norma, pretende-se, por um lado, que as referidas funções possam transmitir diretamente e de imediato quaisquer informações aos referidos órgãos sem a intervenção prévia de terceiros e, por outro lado, que estes as possam solicitar diretamente às funções de controlo interno.
Considerando os desenvolvimentos entretanto ocorridos, as categorias de riscos previstas no Aviso do Banco de Portugal n.º 5/2008 foram eliminadas, remetendo-se agora para o disposto na legislação, regulamentação e orientações aplicáveis. Prevalece, porém, o mesmo princípio de as entidades supervisionadas adotarem categorias de risco que, no seu conjunto, abranjam todos os fatores associados aos eventos de risco a que estão ou podem vir a estar expostas.
No que respeita ao processo de produção, tratamento e reporte de informação pelas instituições, aproveitou-se a oportunidade para atualizar o artigo 19.º do Aviso do Banco de Portugal n.º 5/2008, à luz das recomendações publicadas neste domínio pelo Comité de Supervisão Bancária de Basileia.
Pela sua relevância e em linha com as orientações da EBA em vigor sobre a matéria (EBA/GL/2019/02), divulgadas através da Carta Circular do Banco de Portugal n.º CC/2019/00000065, no presente Aviso trata-se também da possibilidade de subcontratação ocasional de tarefas operacionais das funções de controlo interno, consagrando-se um regime específico a observar pelas entidades supervisionadas quando a ela recorram.
Em paralelo, e em linha com o que já se encontrava previsto no Aviso do Banco de Portugal n.º 5/2008, o presente Aviso consagra a possibilidade de as instituições, quando façam parte de um grupo financeiro, poderem estabelecer serviços comuns para o desenvolvimento das responsabilidades atribuídas às funções de gestão de riscos, de conformidade e de auditoria interna. O regime específico a observar nos casos em que tal suceda é consagrado no capítulo dedicado aos grupos financeiros, passando a estar expressamente previsto que a entidade prestadora do serviço comum não pode estar estabelecida em jurisdição com um regime legal que impeça ou limite quer o cumprimento, pela instituição, das normas legais e regulamentares que regem a sua atividade, incluindo ao nível da prestação e circulação de informação, quer o exercício da supervisão pela autoridade de supervisão competente.
Uma das fontes relevantes de risco para as entidades supervisionadas, e para o sistema financeiro, são os conflitos de interesses, com especial ênfase para as transações com partes relacionadas e para a aceitação de liberalidades. A relevância destas matérias levou ao seu tratamento no presente Aviso, consagrando-se a obrigatoriedade de as entidades supervisionadas adotarem políticas sobre estas matérias e os regimes específicos a observar relativamente às mesmas.
No que respeita a políticas e práticas remuneratórias, e também em linha com as orientações da EBA relativas a políticas de remuneração sãs (EBA/GL/2015/22), divulgadas através da Carta Circular do Banco de Portugal n.º CC/2016/00000036, estabelecem-se no presente Aviso normas complementares às constantes do Regime Geral das Instituições de Crédito e Sociedades Financeiras, e que são relevantes para a sua implementação prática pelas entidades supervisionadas. Algumas dessas normas constavam do Aviso do Banco de Portugal n.º 10/2011, que é agora revogado.
A organização das entidades supervisionadas em grupos levanta um conjunto específico de preocupações prudenciais que justifica o seu tratamento de forma mais densificada no presente Aviso. Para além da possibilidade do estabelecimento de serviços comuns para o desenvolvimento das funções de gestão de riscos, conformidade e auditoria interna, passa também a referir-se expressamente que as empresas-mãe devem dispor da informação necessária para realizar uma avaliação completa do perfil de risco do grupo e devem conhecer a sua estrutura, que deve ser transparente, de forma a permitir que não apenas a empresa-mãe, mas também terceiros, com particular relevo para o supervisor, entendam cabalmente a forma como se encontra organizada. São também expressamente estabelecidos o princípio da transparência na organização dos grupos financeiros e o princípio da coerência dos sistemas de controlo interno dos grupos financeiros.
Por força do presente Aviso, as entidades supervisionadas passam a estar obrigadas a realizar uma autoavaliação da adequação e eficácia da sua cultura organizacional e dos seus sistemas de governo e controlo interno. Esta autoavaliação é vertida num relatório anual que é elaborado com referência a 30 de novembro de cada ano. Este relatório passa a incluir, no mínimo, avaliações elaboradas pelos órgãos de administração e de fiscalização das entidades supervisionadas e relatórios elaborados pelas funções de controlo interno contendo uma avaliação sobre a independência dessas funções e informações sobre todas as deficiências identificadas relativamente às mesmas. O conteúdo mínimo destas avaliações é consagrado no Aviso, clarificando-se a necessidade de serem abrangentes, conclusivas e fundamentadas, sendo também identificadas as fontes de informação internas e externas que devem ser utilizadas para suportar as avaliações efetuadas. O objetivo é promover uma reflexão regular, por parte das instituições, quanto ao grau de cumprimento das matérias tratadas no Aviso, de modo a que seja ponderada a adoção das medidas necessárias para ultrapassar eventuais deficiências identificadas.
Relativamente ao conteúdo destas avaliações, destaca-se que são revistas e clarificadas as exigências que recaem sobre o órgão de fiscalização quanto a esta matéria, passando estas avaliações a abranger a cultura organizacional e os sistemas de governo e de controlo interno, em linha com as suas responsabilidades decorrentes da legislação nacional e europeia. A avaliação do órgão de fiscalização passa assim a abranger, entre outros aspetos, todo o sistema de controlo interno.
Neste contexto é também revisto e clarificado o papel do revisor oficial de contas ou sociedade de revisores oficiais de contas nesta matéria. Contrariamente ao que sucedia no Aviso do Banco de Portugal n.º 5/2008, o presente Aviso deixa de exigir um parecer autónomo do revisor oficial de contas ou sociedade de revisores oficiais de contas sobre a parte do sistema de controlo interno referente ao processo de preparação e divulgação de informação financeira. No entanto, os trabalhos por estes realizados devem continuar a servir de base às avaliações dos órgãos de administração e de fiscalização, seja por via dos trabalhos já previstos na legislação própria sobre auditoria ou por via dos trabalhos adicionais que sejam contratados especificamente pela instituição para auxiliar na avaliação da cultura organizacional e do sistema de governo e de controlo interno.
É adotado racional idêntico quando estejam em causa grupos financeiros, embora os relatórios de autoavaliação relativos aos grupos sejam menos abrangentes, focando-se no controlo interno.
Por último, a experiência adquirida também revelou a necessidade de serem consagradas regras em matéria de gestão documental. Neste sentido, no presente Aviso, consagra-se a obrigatoriedade de as entidades supervisionadas manterem, nomeadamente, um adequado arquivo documental, assegurando que a documentação que o compõe permite, entre outros aspetos, conhecer inequivocamente a fundamentação das decisões tomadas e os respetivos intervenientes.
Consagra-se igualmente a obrigatoriedade de as entidades supervisionadas sistematizarem, de forma integrada e atualizada, a informação respeitante às matérias previstas no Anexo ao presente Aviso. Esta informação inclui a parte descritiva do anterior relatório de controlo e interno e, quando solicitado, é disponibilizada, de imediato, à autoridade de supervisão competente.
O projeto do presente Aviso foi sujeito a consulta pública, tendo sido ouvidas a Comissão do Mercado de Valores Mobiliários, a Autoridade de Supervisão de Seguros e Fundos de Pensões e a Comissão Nacional de Proteção de Dados.
Nestes termos, o Banco de Portugal, no uso das competências que lhe são conferidas pelo artigo 17.º da sua Lei Orgânica, aprovada pela Lei 5/98, de 31 de janeiro e pelo disposto no n.º 12 do artigo 30.º-B, no n.º 2 do artigo 99.º, no n.º 3 do artigo 115.º, no n.º 3 do artigo 115.º-G, no n.º 2 do artigo 115.º-I, na alínea f) do n.º 1 do artigo 116.º, no n.º 8 do artigo 116.º-AA e na alínea c) do artigo 133.º, todos do Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovado pelo Decreto-Lei 298/92, de 31 de dezembro, determina o seguinte:
Capítulo I
Disposições gerais
Artigo 1.º
Objeto
1 - O presente Aviso regulamenta os sistemas de governo e controlo interno e define os padrões mínimos em que deve assentar a cultura organizacional das seguintes entidades (adiante designadas como "instituições"), sem prejuízo de outras disposições legais e regulamentares aplicáveis:
a) Instituições de crédito e sociedades financeiras com sede em Portugal;
b) Sucursais de instituições de crédito, de instituições financeiras e de empresas de investimento com sede em países que não sejam Estados-Membros da União Europeia;
c) Sociedades gestoras de participações sociais sujeitas à supervisão do Banco de Portugal nos termos do disposto no artigo 117.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras, quando sejam consideradas empresas-mãe nos termos da alínea q) do artigo 2.º-A do mesmo diploma.
2 - As instituições são responsáveis por cumprir todos os deveres constantes do presente Aviso, independentemente de, no seio da organização, os mesmos recaírem especialmente sobre determinado órgão ou agente.
3 - A Caixa Central de Crédito Agrícola Mútuo emite as orientações necessárias para assegurar a aplicação consistente e harmonizada do presente Aviso pelo Sistema Integrado do Crédito Agrícola Mútuo.
Capítulo II
Conduta e cultura organizacional
Artigo 2.º
Cultura organizacional
1 - Os órgãos de administração e de fiscalização são responsáveis, no âmbito das respetivas competências, por promover a existência, na instituição, de uma cultura organizacional assente em elevados padrões de exigência ética, que, cumulativamente:
a) Promova uma cultura de risco integrada que abranja todas as áreas de atividade da instituição e que assegure a identificação, avaliação, acompanhamento e controlo dos riscos a que a instituição está ou pode vir a estar exposta;
b) Promova uma conduta profissional responsável e prudente, a observar por todos os colaboradores e membros dos órgãos de administração e de fiscalização no desempenho das respetivas funções, pautada por elevados padrões de exigência ética consagrados num código de conduta próprio da instituição;
c) Contribua para reforçar os níveis de confiança e reputação da instituição, quer a nível interno, quer nas relações estabelecidas com clientes, investidores, autoridades de supervisão e outros terceiros.
2 - Os membros dos órgãos de administração e de fiscalização, os demais membros da direção de topo e os titulares de funções essenciais contribuem, no exercício das respetivas competências, para a gestão sã e prudente da instituição e para uma cultura organizacional com as características referidas no número anterior.
3 - O órgão de administração assegura que os prestadores de serviços com os quais a instituição se relaciona no contexto de qualquer atividade ou função que subcontrate, promovem uma cultura organizacional assente em padrões de ética equiparáveis aos da própria instituição.
4 - Quando a natureza das funções subcontratadas o justifique, as instituições exigem, contratualmente, que os prestadores de serviços asseguram que os colaboradores alocados ao exercício de funções na instituição subscrevem declarações de tomada de conhecimento e vinculação ao código de conduta da instituição.
Artigo 3.º
Deveres do órgão de administração
1 - O órgão de administração da instituição:
a) Promove a definição, aprova, após parecer prévio do órgão de fiscalização, e zela pela aplicação de um código de conduta, com as características referidas no artigo seguinte;
b) Discute regularmente, nas suas reuniões, e nas reuniões com os demais membros da direção de topo, as matérias relacionadas com a conduta e cultura organizacional e assegura o registo das respetivas conclusões;
c) Adota medidas que valorizam comportamentos alinhados com uma cultura organizacional com as características descritas no n.º 1 do artigo 2.º, incluindo, nomeadamente, medidas disciplinares adequadas e proporcionais sempre que forem detetadas situações de incumprimento às regras de conduta;
d) Promove um ambiente de controlo que valoriza o controlo interno como um elemento essencial para a resiliência e o bom desempenho no longo prazo da instituição;
e) Informa as diferentes unidades de estrutura, através de comunicações regulares, sobre o nível de tolerância ao risco da instituição, adota medidas concretas com vista a promover uma forte consciência, junto de todos os colaboradores da instituição, de aversão a níveis de risco que ultrapassem os limites definidos e assegura que todos os colaboradores conhecem as suas responsabilidades em matéria de tomada e controlo de riscos;
f) Promove um ambiente organizacional que encoraja os colaboradores a partilhar a sua opinião de forma livre e aberta e a comunicar superiormente a existência de problemas sem receio de represálias, e a não adotar ou tolerar práticas de gestão agressivas;
g) Promove a realização de ações de formação, realizadas com caráter obrigatório no momento do início de funções e renovadas a cada dois anos ou sempre que houver alterações relevantes de conteúdo, com vista à sensibilização de todos os colaboradores, incluindo os membros dos órgãos de administração e de fiscalização, relativamente aos valores da instituição e às regras de conduta em vigor, assegurando, nomeadamente, que os colaboradores da instituição se encontram cientes das consequências legais e disciplinares que podem resultar de condutas impróprias;
h) Para além do disposto na alínea anterior, promove, ao longo do ano, a comunicação e divulgação das regras de conduta em vigor na instituição, de modo a torná-las presentes no dia-a-dia da gestão e no processo de tomada de decisão;
i) Assegura que no processo de recrutamento e seleção de novos colaboradores, incluindo membros dos órgãos sociais, é avaliada a adesão dos candidatos aos padrões éticos da instituição;
j) Age com diligência, lealdade e neutralidade nas relações mantidas com terceiros, e assegura que são adotados procedimentos internos isentos, transparentes e auditáveis, nomeadamente quando esteja em causa a contratação de serviços e a aquisição e alienação de ativos pela instituição.
2 - O órgão de administração promove avaliações periódicas e independentes, a realizar por entidade externa à instituição, relativamente à conduta e valores da instituição, as quais incidem também sobre a conduta e valores do próprio órgão de administração e dos seus comités.
3 - Por sua iniciativa, o órgão de fiscalização da instituição também promove avaliações periódicas e independentes, a realizar por entidade externa à instituição, sobre a conduta e valores do próprio órgão, as quais podem ser desenvolvidas em articulação com as avaliações referidas no número anterior.
Artigo 4.º
Código de conduta
1 - O código de conduta da instituição é claro, compreensível e coerente com outros normativos internos em vigor na instituição.
2 - O código de conduta da instituição prevê, no mínimo, o seguinte:
a) O desempenho da atividade em cumprimento da legislação, regulamentação e orientações aplicáveis e das normas adotadas internamente pela instituição;
b) A obrigatoriedade de adoção de comportamentos consonantes com os níveis de tolerância ao risco definidos pela instituição;
c) A definição dos comportamentos aceitáveis e não aceitáveis e respetivas medidas e procedimentos de prevenção e controlo, designadamente em matéria de dever de segredo, proibição de uso ilegítimo de informação privilegiada, deveres de lealdade, prevenção de conflitos de interesses e negócios com partes relacionadas, atividades exercidas em acumulação com as funções exercidas na instituição, liberalidades, ofertas, e benefícios e contactos com a comunicação social e outras entidades externas;
d) Princípios orientadores e normas internas dos vários aspetos das relações com clientes, incluindo os mecanismos e procedimentos internos adotados no âmbito da apreciação de reclamações, em conformidade com o previsto no Regime Geral das Instituições de Crédito e Sociedades Financeiras;
e) As consequências legais e disciplinares do seu incumprimento.
3 - O órgão de administração aprova, após parecer prévio do órgão de fiscalização, o código de conduta e as políticas e normativos internos que o desenvolvem e concretizam, definindo, entre outros aspetos, as responsabilidades das funções de controlo interno, os procedimentos de verificação regular do seu cumprimento, as medidas de prevenção, identificação, gestão e mitigação de conflitos de interesses e os deveres de reporte associados.
4 - O órgão de administração assegura que o código de conduta referido no número anterior é objeto de revisões periódicas, a realizar pelo menos a cada dois anos e sempre que ocorram alterações na legislação e regulamentação que o justifiquem.
5 - O órgão de administração é responsável por garantir que a instituição assegura a tomada de conhecimento expresso por cada colaborador do código de conduta que esteja em vigor.
6 - O órgão de administração é responsável por assegurar que o código de conduta é divulgado internamente na instituição e externamente através do sítio na internet da instituição.
Capítulo III
Governo interno, estrutura organizacional e planeamento estratégico
Secção I
Órgãos de administração e de fiscalização
Artigo 5.º
Organização e composição
1 - Os órgãos de administração e de fiscalização da instituição identificam e avaliam as respetivas necessidades ao nível da sua composição e organização.
2 - Para além do disposto no número anterior, e quando assim for deliberado pelo órgão de administração, este identifica e avalia, em face das necessidades concretas da instituição, quais os pelouros a distribuir por cada membro com funções executivas.
3 - Em resultado da identificação e avaliação promovidas ao abrigo do n.º 1, o Comité de Nomeações previsto no artigo 115.º-B do Regime Geral das Instituições de Crédito e Sociedades Financeiras, quando constituído, ou os órgãos de administração e de fiscalização, elaboram uma descrição detalhada das responsabilidades e funções a desempenhar por cada um dos seus membros e das competências e experiência profissional necessárias para o efeito.
4 - Para dar cumprimento ao disposto nos números anteriores, o órgão de administração, em articulação com o órgão de fiscalização, assegura que a instituição dispõe de políticas e processos internos, devidamente documentados e aprovados, que permitam:
a) A identificação e avaliação das necessidades referidas no n.º 1, e a elaboração da descrição referida no n.º 3;
b) A identificação, seleção e avaliação de potenciais candidatos a membros dos seus órgãos de administração e de fiscalização que permita suprir as necessidades referidas no n.º 1, atendendo à descrição referida no n.º 3.
5 - Os processos internos referidos no número anterior incluem uma confirmação adequada da informação prestada pelos candidatos a membros dos órgãos de administração e de fiscalização, no âmbito do processo de seleção e avaliação.
6 - Tendo presente o disposto nos n.os 1 e 3, a instituição dispõe de uma política de sucessão, que tem em consideração o disposto na política de seleção e avaliação dos membros dos órgãos de administração e de fiscalização e dos titulares de funções essenciais e que inclui, nomeadamente, a identificação e descrição de perfis de função detalhados, incluindo o papel organizacional do cargo, as principais responsabilidades e interações, bem como a formação académica, experiência profissional e competências de gestão ou aptidões específicas necessárias.
7 - A política de sucessão referida no número anterior deve, adicionalmente, especificar o processo interno, externo ou ambos, de suporte à seleção e avaliação de potenciais sucessores, órgãos envolvidos, o respetivo calendário, bem como suportar a elaboração de uma lista permanentemente atualizada de possíveis candidatos a membros dos órgãos de administração e de fiscalização que possa ser submetida à consideração da assembleia geral.
8 - Para efeitos do disposto nos n.os 6 e 7, a instituição recolhe e mantém apenas os dados pessoais necessários à prossecução dos objetivos que as referidas disposições visam atingir, nomeadamente, nome, contactos, habilitações académicas e percurso profissional.
Artigo 6.º
Fiscalização interna efetiva
1 - O órgão de administração interage de forma regular e efetiva com o órgão de fiscalização e assegura que este dispõe de toda a informação necessária para o cabal exercício das competências que lhe são conferidas por lei.
2 - O órgão de fiscalização define e formaliza os procedimentos que lhe permitam receber as informações necessárias para o adequado exercício das suas funções.
3 - O órgão de fiscalização pode solicitar, a todo o tempo, qualquer documento ou informação, escrita ou oral, que considere relevante para o exercício das suas funções diretamente às diversas unidades de estrutura ou a qualquer colaborador da instituição, em particular às funções de controlo interno, sem necessidade de qualquer pedido ou comunicação prévia ao órgão de administração, e sem que este órgão possa obstar ao acesso direto à informação ou documento em causa pelo órgão de fiscalização.
4 - As funções de controlo interno podem, por sua iniciativa, transmitir qualquer informação ou remeter ao órgão de fiscalização diretamente, qualquer documento que considerem relevante, sem necessidade de pedido ou comunicação prévia ao órgão de administração e sem que este órgão possa obstar ao acesso direto à informação ou documento em causa pelo órgão de fiscalização.
5 - Qualquer condicionamento, ainda que temporário, ao acesso a informação, documentação ou a colaboradores da instituição, conforme previsto no n.º 3, ou ao acesso das funções de controlo interno ao órgão de fiscalização, conforme previsto no n.º 4, deve ser comunicado, de imediato, à autoridade de supervisão competente e debatido em reunião do órgão de fiscalização, ficando registado em ata.
6 - O disposto no presente artigo aplica-se aos administradores não executivos do órgão de administração da instituição, quando existam.
Artigo 7.º
Comités
1 - Os órgãos de administração e de fiscalização estabelecem os comités de apoio necessários à mais eficiente prossecução das respetivas competências.
2 - Os órgãos de administração e de fiscalização aprovam regulamentos próprios para cada comité, que definem os seus termos de funcionamento e que incluem, nomeadamente, a identificação do presidente e do secretário, se designado, os seus membros, as suas competências, a periodicidade das reuniões, bem como os procedimentos instituídos para efeitos de preparação e agendamento das reuniões, designadamente a documentação mínima de suporte, mecanismos e prazos de submissão.
3 - Para efeitos do disposto no número anterior, a instituição recolhe e mantém apenas os dados pessoais necessários à prossecução dos objetivos que a referida disposição visa atingir, nomeadamente, nome, contactos e cargo desempenhado na instituição.
4 - A constituição do Comité de Remunerações previsto no artigo 115.º-H do Regime Geral das Instituições de Crédito e Sociedades Financeiras é obrigatória, nomeadamente, nas seguintes instituições:
a) Instituições de crédito identificadas como outras instituições de importância sistémica (O-SII) nos termos do disposto no artigo 138.º-Q do referido diploma;
b) Instituições que, não tendo sido identificadas como outras instituições de importância sistémica (O-SII), tenham colaboradores, incluindo os membros dos órgãos de administração e de fiscalização, que auferem rendimentos de montante particularmente elevado, traduzidos em rendimentos anuais iguais ou superiores a (euro) 1.000.000, por exercício económico.
5 - A constituição do Comité de Riscos previsto no artigo 115.º-L do Regime Geral das Instituições de Crédito e Sociedades Financeiras é obrigatória nas instituições identificadas como outras instituições de importância sistémica (O-SII) nos termos do disposto no artigo 138.º-Q do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
6 - Salvo em circunstâncias devidamente fundamentadas e aceites pela autoridade de supervisão competente, o presidente do Comité de Riscos não pode desempenhar o cargo de presidente de qualquer outro comité da instituição.
7 - Quando a entidade identificada como O-SII, nos termos do disposto no artigo 138.º-Q do Regime Geral das Instituições de Crédito e Sociedades Financeiras, não corresponda a uma instituição de crédito, o disposto no presente artigo aplica-se às instituições de crédito relativamente às quais a O-SII seja empresa-mãe.
Artigo 8.º
Registo das reuniões dos órgãos colegiais
1 - No âmbito das respetivas competências, todos os órgãos colegais da instituição, incluindo os comités, são responsáveis por assegurar que são elaboradas, tempestivamente, atas de todas as reuniões realizadas, que permitam uma adequada compreensão das matérias nelas tratadas, incluindo, pelo menos:
a) O nome, cargo e assinatura de todos os participantes na reunião, bem como indicação expressa dos membros não presentes;
b) Identificação da documentação de suporte a cada um dos pontos da agenda;
c) A fundamentação de cada deliberação tomada, incluindo o sentido de voto e a identificação dos membros votantes, e uma referência expressa a eventuais opiniões divergentes;
d) Uma descrição de eventuais recomendações formuladas;
e) Identificação dos assuntos que carecem de acompanhamento em reuniões futuras.
2 - Os órgãos colegiais e comités da instituição são responsáveis por assegurar o adequado arquivo da documentação de suporte a cada um dos pontos da agenda das reuniões.
3 - Para efeitos do disposto no presente artigo, o órgão de administração assegura que a instituição dispõe de um sistema informático de gestão documental respeitante às reuniões dos seus órgãos colegiais e dos seus comités.
Secção II
Estrutura organizacional e planeamento estratégico
Artigo 9.º
Estrutura organizacional
1 - O órgão de administração define, aprova e implementa a estrutura organizacional da instituição, que inclui os órgãos sociais da instituição e respetivos comités, assegurando que a mesma:
a) Está definida de forma integrada, objetiva, transparente e percetível, num manual de estrutura orgânica ou documento interno equivalente;
b) Suporta o desenvolvimento da atividade da instituição e a implementação de um sistema de controlo interno adequado e eficaz, de forma a assegurar que a gestão e o controlo das operações são efetuados de uma forma prudente;
c) Assenta numa definição coerente, clara e objetiva das linhas de reporte e de autoridade, das competências e responsabilidades de cada órgão, unidade de estrutura e função, bem como do grau e âmbito de cooperação entre si;
d) Contempla uma adequada segregação de funções potencialmente conflituantes, sem prejudicar interações entre essas funções com potencial mais-valia para o regular funcionamento da instituição, assegurando que quaisquer situações de potenciais conflitos de interesses são identificadas antecipadamente, minimizadas e sujeitas a uma monitorização cuidadosa e independente;
e) Assenta num número suficiente de membros da direção de topo e da gestão intermédia, bem como de outros colaboradores, para o desenvolvimento das responsabilidades e funções definidas.
2 - A estrutura organizacional, incluindo as competências e responsabilidades de cada órgão, unidade de estrutura ou função, as linhas de reporte e de autoridade, os fluxos de informação e o grau e âmbito de cooperação e interação entre os diversos órgãos, unidades de estrutura ou funções:
a) São comunicadas, pelo órgão de administração, no tempo, pela forma e com o detalhe adequados, a todos os colaboradores da instituição, incluindo aos membros do órgão de fiscalização;
b) São analisadas e revistas regularmente, no mínimo de dois em dois anos e sempre que necessário, pelo órgão de administração, com vista a garantir a sua atualidade e adequação permanente às circunstâncias concretas da instituição.
3 - No caso de instituições com reduzida amplitude de atividade e de riscos associados e em que, devido à limitação de recursos disponíveis, seja inexequível a total segregação de funções potencialmente conflituantes, as instituições identificam, documentam, mantêm um registo e implementam procedimentos alternativos de controlo de modo a evitar ou a minimizar o risco da ocorrência de situações de conflitos de interesses.
4 - O órgão de administração assegura que o sistema de controlo interno da instituição inclui procedimentos que garantam que cada unidade de estrutura da instituição, incluindo os órgãos de administração e de fiscalização, cumpre atempadamente com os deveres de atuação resultantes do presente Aviso.
5 - O órgão de fiscalização emite parecer prévio vinculativo sobre todas as matérias previstas no presente artigo respeitantes à sua própria organização.
Artigo 10.º
Planeamento estratégico
1 - O órgão de administração define uma estratégia, sustentável a longo prazo, para a atividade da instituição, para o seu perfil de risco e para o sistema de controlo interno, através de um processo formal de planeamento, executado com uma periodicidade adequada.
2 - A estratégia referida no número anterior é elaborada com base em pressupostos adequadamente fundamentados, que são objeto de análises de sensibilidade e em informação fiável e compreensível, tendo em vista, nomeadamente, o seguinte:
a) Possibilitar a sua adaptação tempestiva caso se verifiquem alterações significativas nos pressupostos que lhe estão subjacentes, tendo por base uma avaliação prévia do impacto de materialização de desvios;
b) Definir objetivos precisos, claros e sustentáveis para a atividade global e para cada área de negócio, abrangendo os principais produtos, atividades, sistemas e processos da instituição;
c) Determinar a política de risco, que permita suportar os níveis de rentabilidade projetados, tendo em conta os riscos envolvidos;
d) Estabelecer orientações que sirvam de base ao desenvolvimento do sistema de controlo interno da instituição.
3 - A estratégia da instituição é comunicada com a periodicidade, pela forma e com o detalhe adequados, a todos os colaboradores da instituição, incluindo aos membros do órgão de fiscalização.
Artigo 11.º
Recursos materiais, técnicos e humanos
1 - O órgão de administração assegura a existência de recursos materiais, nomeadamente capital e liquidez, técnicos e humanos adequados para a prossecução sã e prudente da estratégia de longo prazo da instituição, devendo assegurar que as diversas unidades de estrutura da instituição dispõem dos recursos materiais, técnicos e humanos para desempenhar de forma eficiente e contínua as respetivas funções.
2 - O órgão de administração é responsável por assegurar que a instituição define, aprova, implementa e revê políticas específicas em matéria de recursos humanos, nomeadamente relativas a recrutamento e seleção, avaliação de desempenho, promoção e gestão de carreiras, remuneração, formação e desenvolvimento de competências, que promovam, em permanência:
a) Uma conduta profissional responsável e prudente, nos termos previsto na alínea b) do n.º 1 do artigo 2.º;
b) Um nível de conhecimentos, experiência e competências adequado às responsabilidades e funções atribuídas a cada colaborador;
c) Um conhecimento adequado por parte de cada colaborador da sua função e responsabilidades dentro da instituição e da relação entre essa função e as demais funções, nomeadamente no contexto do sistema de controlo interno.
Capítulo IV
Sistema de controlo interno e gestão de riscos
Secção I
Disposições gerais
Artigo 12.º
Estabelecimento do sistema de controlo interno
1 - O órgão de administração da instituição estabelece e mantém um sistema de controlo interno, traduzido num conjunto de estratégias, políticas, processos, sistemas e procedimentos com o objetivo de garantir a sustentabilidade da instituição no médio e longo prazo e o exercício prudente da sua atividade, através:
a) Do cumprimento dos objetivos estabelecidos no planeamento estratégico, com base na realização eficiente das operações, na utilização eficiente dos recursos da instituição e na salvaguarda dos seus ativos;
b) Da adequada identificação, avaliação, acompanhamento e controlo dos riscos a que a instituição está ou pode vir a estar exposta;
c) Da existência de informação financeira e não financeira completa, pertinente, fiável e tempestiva;
d) Da adoção de procedimentos contabilísticos sólidos;
e) Do cumprimento da legislação, da regulamentação e das orientações aplicáveis à atividade da instituição, emitidas pelas autoridades competentes, do cumprimento dos normativos internos da própria instituição, bem como das normas e usos profissionais e deontológicos e das regras de conduta e de relacionamento com clientes.
2 - O sistema de controlo interno abrange toda a instituição, incluindo as responsabilidades e as funções dos órgãos de administração e de fiscalização, todos os seus segmentos de atividade, unidades de estrutura, nomeadamente as funções de controlo interno, atividades subcontratadas e os canais de distribuição de produtos.
Artigo 13.º
Organização do sistema de controlo interno
1 - O órgão de administração assegura que o sistema de controlo interno estabelecido nos termos do artigo anterior é definido tendo em consideração o princípio da proporcionalidade e o grau de centralização de autoridade e de delegação estabelecido na instituição.
2 - O órgão de administração assegura que o sistema de controlo interno da instituição:
a) Inclui funções de controlo interno permanentes e efetivas, com um estatuto, autoridade e independência na estrutura organizacional conformes com o previsto no presente Aviso, destinadas a verificar, nas respetivas áreas de competência, se as estratégias, políticas, processos, sistemas e procedimentos estabelecidos são adequados, devidamente atualizados, corretamente aplicados e efetivamente cumpridos;
b) Assenta num sistema de gestão de riscos que permita identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar a estratégia e os objetivos definidos para a instituição, que assegure o seu cumprimento efetivo e que permita a tomada das ações necessárias para responder adequada e tempestivamente a desvios não pretendidos ou esperados;
c) Assenta num sistema de gestão de informação e comunicação que assegure a recolha, tratamento, arquivo e troca de dados relevantes, abrangentes e consistentes, num prazo e de forma a permitir o desempenho eficaz e tempestivo da gestão e o controlo da atividade e dos riscos aos quais a instituição está ou pode vir a estar exposta;
d) Assenta num processo de monitorização contínua que assegure a adequação e eficácia do sistema de controlo interno ao longo do tempo e que garanta, nomeadamente, a identificação e a correção tempestiva de eventuais deficiências.
3 - Para efeitos do disposto no presente Aviso, o conceito de deficiências é entendido como o conjunto das insuficiências, potenciais ou efetivas, ou das oportunidades de introdução de melhorias que permitam fortalecer a cultura organizacional e os sistemas de gestão de riscos, de governo e controlo interno relativamente a todas as matérias abrangidas pelo presente Aviso, incluindo as políticas e práticas remuneratórias.
4 - O órgão de administração da empresa-mãe assegura que o sistema de controlo interno é aplicado de forma consistente em todas as filiais e sucursais da instituição, estabelecidas em Portugal ou no estrangeiro, sem prejuízo das adaptações necessárias impostas pela legislação e regulamentação em vigor no país de acolhimento.
Secção II
Funções de controlo interno
Artigo 14.º
Unidades de estrutura que desempenham funções de controlo interno
1 - O órgão de administração define as unidades de estrutura que desempenham as funções de gestão de riscos, de conformidade e de auditoria interna, de acordo com o modelo que entenda ser o mais adequado, atendendo às características específicas da instituição, e que pode incluir, nomeadamente, o desdobramento de cada uma dessas funções em mais do que uma unidade de estrutura.
2 - Os requisitos previstos no presente Aviso relativos à função de conformidade aplicam-se à função de controlo do cumprimento do quadro normativo referida no artigo 7.º do Aviso do Banco de Portugal n.º 2/2018, sempre que esta se encontre segregada daquela função de controlo interno.
3 - Sem prejuízo do disposto nos números anteriores, o órgão de administração assegura que a função de gestão de riscos tem uma visão global de todos os riscos a que a instituição está ou pode vir a estar exposta.
4 - O órgão de administração estabelece e mantém funções de controlo interno que:
a) Dispõem de estatuto e autoridade suficiente para desempenhar as suas competências de forma objetiva e independente e de regulamentos próprios aprovados pelo órgão de administração, depois de obtido o parecer prévio do órgão de fiscalização;
b) Dispõem de planos de atividades aprovados pelo órgão de administração, depois de obtido parecer prévio do órgão de fiscalização;
c) Desempenham de forma independente as suas responsabilidades, não podendo os resultados das avaliações que desenvolvem ser condicionados ou limitados, por exemplo, através da existência de disposições ou orientações internas quanto ao número máximo de deficiências identificadas ou do estabelecimento de qualquer relação, implícita ou explícita, entre as deficiências identificadas e a avaliação de desempenho dos colaboradores afetos às funções de controlo;
d) Dispõem de um responsável pela função em relação ao qual se observa o disposto no artigo 17.º e um número suficiente de colaboradores permanentemente qualificados, bem como de recursos materiais e técnicos adequados para o desempenho eficaz das suas responsabilidades;
e) Dispõem de sistemas de informação adequados, com acesso às informações internas e externas necessárias para cumprir as suas responsabilidades, incluindo informações respeitantes às filiais e sucursais da instituição;
f) Dispõem de acesso total, livre e incondicionado a todas as funções, atividades, incluindo funções, processos e atividades subcontratadas, instalações próprias ou dos prestadores de serviços, bens e colaboradores, informações, registos contabilísticos, sistemas, ficheiros informáticos e dados da instituição.
5 - As funções de controlo interno dispõem de acesso direto aos órgãos de administração e de fiscalização e aos comités de apoio àqueles órgãos, quando constituídos, por sua iniciativa ou por iniciativa de qualquer membro destes órgãos.
6 - A existência de qualquer condicionamento ao exercício independente das funções de controlo interno deve ser comunicada, de imediato, aos órgãos de administração e de fiscalização, para análise e registo em ata, bem como à autoridade de supervisão competente, pelo responsável pela função de controlo interno em causa.
7 - O órgão de fiscalização participa no processo de avaliação de desempenho das funções de controlo interno e dos respetivos responsáveis previstos no artigo 17.º
Artigo 15.º
Segregação das funções de controlo interno
1 - As funções de controlo interno são estabelecidas em unidades de estrutura organicamente segregadas das atividades que monitorizam e controlam, sem prejuízo do disposto no n.º 1 do artigo seguinte.
2 - As funções de gestão de riscos, de conformidade e de auditoria interna são estabelecidas em unidades de estrutura autónomas e independentes entre si, sem prejuízo do disposto no n.º 2 do artigo seguinte.
Artigo 16.º
Exceções à segregação das funções de controlo interno
1 - Quando a instituição não se encontre habilitada a receber depósitos, e na medida em que adote os mecanismos necessários para prevenir ou mitigar o risco de situações de conflitos de interesses:
a) O requisito previsto no n.º 1 do artigo anterior não é aplicável à função de gestão de riscos, sempre que o número de colaboradores, excluindo os administradores, seja inferior a trinta e os proveitos operacionais no último exercício económico sejam inferiores a (euro) 20.000.000;
b) O requisito previsto no n.º 1 do artigo anterior não é aplicável à função de conformidade, sempre que o número de colaboradores, excluindo os administradores, seja inferior a seis e os proveitos operacionais no último exercício económico sejam inferiores a (euro) 1.000.000.
2 - Quando a instituição não se encontre habilitada a receber depósitos, e na medida em que adote os mecanismos necessários para prevenir ou mitigar o risco de situações de conflitos de interesses, o órgão de administração pode decidir, de forma fundamentada e documentada em ata, combinar numa única unidade de estrutura as responsabilidades da função de gestão de riscos e as responsabilidades da função de conformidade previstas no presente Aviso.
3 - Quando a instituição não se encontre habilitada a receber depósitos, a função de auditoria interna:
a) Pode ser dispensada se o número de colaboradores, excluindo os administradores, for inferior a trinta e os proveitos operacionais no último exercício económico forem inferiores a (euro) 20.000.000, caso em que a instituição adota procedimentos de monitorização adicionais que permitam mitigar a inexistência da função;
b) Pode ser totalmente subcontratada, desde que seja observado o disposto no artigo 36.º e sem prejuízo da designação de um responsável pela função, que seja colaborador da instituição, o qual, juntamente com os órgãos de administração e de fiscalização, permanece responsável pelo cumprimento dos requisitos aplicáveis à função.
4 - A subcontratação prevista na alínea b) do número anterior está sujeita a parecer prévio do órgão de fiscalização e não obsta ao cumprimento do disposto no artigo 32.º, sendo permanentemente assegurado que a entidade prestadora do serviço dispõe da capacidade técnica e humana para desempenhar, de forma eficaz, independente, confiável e profissional, as responsabilidades afetas à função subcontratada.
5 - O disposto no presente artigo não prejudica a possibilidade de a autoridade de supervisão competente poder exigir, ao abrigo do disposto no Regime Geral das Instituições de Crédito e Sociedades Financeiras, que as instituições estabeleçam a função de gestão de riscos e a função de conformidade em unidades de estrutura organicamente segregadas ou que estabeleçam uma função de auditoria interna permanente no seio da instituição, cujo âmbito de tarefas passíveis de subcontratação se limitem ao permitido pelo artigo 36.º
Artigo 17.º
Responsáveis pelas funções de controlo interno
1 - Sem prejuízo do disposto no artigo anterior, os responsáveis pelas funções de controlo interno pertencem à direção de topo da instituição, não desempenham outras funções na instituição e exercem as suas funções de forma independente.
2 - Não obstante a responsabilidade geral dos membros do órgão de administração, os responsáveis pelas funções de controlo interno não podem ser, no exercício das suas funções, subordinados ao membro executivo do órgão de administração que seja responsável pela gestão das atividades que cada função de controlo interno monitoriza e controla.
3 - Quando a instituição não se encontre habilitada a receber depósitos e caso a dimensão, natureza, âmbito e complexidade da atividade desenvolvida pela instituição, e a sua apetência para o risco, não justifiquem que o responsável pela função de gestão de riscos ou o responsável pela função de conformidade pertençam à direção de topo, o órgão de administração pode decidir, de forma fundamentada e documentada em ata, que o cargo é desempenhado por um quadro superior da instituição que desempenhe outras funções, desde que seja salvaguardada a inexistência de conflitos de interesses e implementadas as medidas necessárias para os mitigar.
4 - A decisão de substituição dos responsáveis pelas funções de controlo interno é tomada pelo órgão de administração da instituição e:
a) As razões da substituição são devidamente fundamentadas;
b) Carece de parecer prévio vinculativo do órgão de fiscalização;
c) É elaborado relatório de avaliação da adequação do substituto, nos termos do disposto no artigo 30.º-A do Regime Geral das Instituições de Crédito e Sociedades Financeiras;
d) É comunicada, de imediato, à autoridade de supervisão competente, com a fundamentação da decisão tomada.
Artigo 18.º
Autorização para o exercício de funções dos responsáveis pelas funções de controlo interno
1 - Em complemento ao disposto no n.º 3 e n.º 4 do artigo 33.º-A do Regime Geral das Instituições de Crédito e Sociedades Financeiras, a adequação dos responsáveis pela função de gestão de riscos, de conformidade e de auditoria interna é objeto de autorização para o exercício de funções pela autoridade de supervisão competente, em momento anterior ao início de funções, em instituições de crédito categorizadas como outras instituições de importância sistémica (O-SII) nos termos do disposto no artigo 138.º-Q daquele diploma.
2 - Para efeitos do disposto no presente artigo é aplicável, com as necessárias adaptações, o disposto nos artigos 30.º-B, 30.º-C, 30.º-D e 31.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
3 - No caso de grupos sujeitos a supervisão com base na sua situação financeira consolidada, em que a empresa-mãe corresponda a uma O-SII, o disposto no número anterior aplica-se apenas à empresa-mãe.
4 - Quando a entidade identificada como O-SII não corresponda a uma instituição de crédito, o disposto no presente artigo aplica-se às instituições de crédito relativamente às quais a O-SII seja a empresa-mãe.
5 - Para efeitos do disposto no presente artigo, a instituição recolhe e mantém apenas os dados pessoais necessários à avaliação da adequação, pela própria instituição e pela autoridade de supervisão competente, dos responsáveis pela função de gestão de riscos, de conformidade e de auditoria interna, nos termos da Instrução do Banco de Portugal n.º 23/2018.
Secção III
Sistema de gestão de riscos
Artigo 19.º
Implementação do sistema de gestão de riscos
1 - O órgão de administração implementa um sistema de gestão de riscos, traduzido num conjunto de estratégias, políticas, processos, sistemas e procedimentos, que têm como objetivo a identificação, avaliação, acompanhamento e controlo de todos os riscos a que a instituição está ou pode vir a estar exposta, tanto por via interna como externa, por forma a assegurar que aqueles se mantêm ao nível previamente definido pelo órgão de administração e que não afetam significativamente a situação financeira da instituição.
2 - O órgão de administração assegura que o sistema de gestão de riscos:
a) É incorporado de forma efetiva e coerente no processo de definição da estratégia da instituição;
b) Influencia ativamente o processo de tomada de decisão do órgão de administração, da comissão executiva, quando constituída, da direção de topo e da gestão intermédia;
c) Contribui de forma efetiva para o adequado exercício das competências do órgão de fiscalização.
3 - A definição e implementação de um sistema de controlo interno adequado à gestão do risco de branqueamento de capitais e de financiamento do terrorismo está sujeita às normas legais e regulamentares aplicáveis nesta matéria.
4 - O órgão de administração é globalmente responsável por uma adequada gestão de todos os riscos a que a instituição está ou pode vir a estar exposta.
Artigo 20.º
Organização do sistema de gestão de riscos
1 - O sistema de gestão de riscos é organizado de forma a dispor das seguintes características:
a) Ser sólido, eficaz e consistente;
b) Abranger todos os produtos, atividades, processos e sistemas, incluindo os subcontratados, bem como todas as filiais, sucursais e outras formas de estabelecimento ou de prestação de serviços;
c) Basear-se em processos de identificação, avaliação, acompanhamento e controlo dos riscos, em conformidade com o disposto nos artigos 22.º a 25.º, suportados em políticas, procedimentos e limites de tolerância ao risco apropriados, claramente definidos e aprovados, os quais são periodicamente revistos;
d) Integrar o disposto nos planos de recuperação, incorporando políticas e procedimentos destinados a assegurar o restabelecimento tempestivo de situações de desequilíbrio financeiro da instituição, bem como com o disposto nos demais processos e políticas da instituição relacionados com a gestão de riscos.
2 - Relativamente à organização do sistema de gestão de riscos, compete ao órgão de administração:
a) Definir, aprovar e rever com regularidade a política global de risco da instituição elaborada de acordo com o disposto na alínea a) do n.º 1 do artigo 25.º, assegurando a sua divulgação por todas as unidades de estrutura da instituição e a sua adequada implementação e cumprimento;
b) Aprovar outras políticas e procedimentos de gestão de riscos de acordo com o disposto na alínea b) do n.º 1 do artigo 25.º, assegurando a sua adequada implementação e cumprimento;
c) Aprovar, previamente à sua introdução, políticas de gestão de risco aplicáveis aos novos produtos e atividades da instituição, assegurando a sua adequada implementação e cumprimento;
d) Verificar, de forma regular, em conformidade com os procedimentos definidos para o efeito, o cumprimento dos níveis de tolerância ao risco e das políticas e procedimentos de gestão de riscos em vigor na instituição, avaliando a sua eficácia e adequação às atividades desenvolvidas, no sentido de possibilitar a deteção e correção atempadas de quaisquer deficiências;
e) Aprovar, assegurando a sua adequada implementação e cumprimento, as políticas e os procedimentos necessários para garantir que são elaborados relatórios periódicos, precisos e tempestivos sobre os riscos materiais a que a instituição está ou pode vir a estar exposta, que identifiquem os mecanismos de controlo implementados para gerir esses riscos, bem como que esses relatórios lhe são submetidos atempadamente para apreciação;
f) Aprovar, assegurando a sua adequada implementação e cumprimento, os procedimentos necessários para garantir a efetiva execução das suas orientações e recomendações com vista à introdução de correções e/ou melhorias no sistema de gestão de riscos;
g) Pronunciar-se atempadamente sobre os relatórios elaborados pelas funções de controlo interno, nomeadamente sobre as recomendações que visem a adoção de medidas destinadas à resolução de deficiências.
Artigo 21.º
Definição das categorias de riscos
1 - O órgão de administração assegura que a instituição, tendo em consideração o disposto na legislação, regulamentação e orientações aplicáveis, adota categorias de risco que, no seu conjunto, abranjam todos os fatores associados aos eventos de risco a que a instituição está ou pode vir a estar exposta.
2 - A decisão de exclusão de determinadas categorias de risco identificadas na legislação, regulamentação e orientações aplicáveis, pelo facto de os fatores de risco subjacentes não se manifestarem na atividade desenvolvida, tem de ser devidamente justificada pela função de gestão de riscos e aprovada pelo órgão de administração, sendo objeto de apreciação pelo órgão de fiscalização.
Artigo 22.º
Processo de identificação de riscos
O órgão de administração é responsável por assegurar o desenvolvimento, implementação e manutenção de um processo de identificação dos fatores, internos e externos, que, em relação a cada categoria de risco a que a instituição está ou possa vir a estar exposta, possam afetar a sua capacidade para implementar ou atingir os objetivos estratégicos definidos, o qual, nomeadamente:
a) Assenta em métodos e técnicas claramente definidos e abrange todas as atividades, produtos, processos e sistemas da instituição, de modo a permitir a identificação efetiva de todos os eventos de risco de impacto material;
b) É executado com uma periodicidade mínima anual, de forma a permitir a identificação tempestiva de novos eventos de risco e a revisão dos existentes;
c) Permite hierarquizar os riscos, identificar e mapear, nomeadamente, os produtos, as atividades, os processos e sistemas, e as tipologias de operações associados a esses riscos, com o grau de detalhe adequado à natureza de cada risco.
Artigo 23.º
Processo de avaliação de riscos
1 - O órgão de administração é responsável por assegurar o desenvolvimento, implementação e manutenção de um processo de avaliação da probabilidade de ocorrência de perdas e da respetiva magnitude em relação a cada categoria de risco, o qual, nomeadamente:
a) Assenta em análises qualitativas e quantitativas, baseadas em metodologias com um grau de fiabilidade e de sofisticação adequado à natureza e magnitude do risco e à natureza, âmbito e complexidade das atividades desenvolvidas pela instituição, bem como à sua apetência para o risco;
b) É executado com uma periodicidade mínima anual, de modo a permitir uma atualização adequada dos resultados do processo de avaliação, tendo em vista a deteção tempestiva de desvios e a tomada de decisões pelo órgão de administração, pela comissão executiva, quando constituída, pela direção de topo e pela gestão intermédia da instituição em tempo oportuno;
c) Assenta em hipóteses, parâmetros e fontes de informação adequados e fiáveis;
d) Permite a elaboração de relatórios que suportem a formação de um juízo fundamentado sobre a relevância e o potencial impacto negativo nos resultados, posição de capital ou de liquidez, incluindo relativamente aos riscos que, pela sua natureza, não são facilmente mensuráveis.
2 - As análises quantitativas previstas na alínea a) do n.º 1 têm em consideração potenciais alterações futuras nas condições económicas e incluem a realização de testes de esforço.
Artigo 24.º
Processo de acompanhamento de riscos
1 - O órgão de administração é responsável por assegurar:
a) O desenvolvimento, implementação e manutenção de um processo sistematizado de acompanhamento da exposição a cada categoria de risco a que a instituição está ou pode vir a estar exposta;
b) Que cada categoria de risco é adequadamente acompanhada por uma função de controlo interno enquadrável na segunda linha de defesa, sem prejuízo da necessidade de ser sempre assegurado que a função de gestão de riscos tem uma visão holística sobre todas as categorias de risco a que a instituição está ou pode vir a estar exposta.
2 - O processo de acompanhamento referido no número anterior inclui, pelo menos, a elaboração de relatórios periódicos e tempestivos, com informação clara, fiável e substantiva sobre os riscos a que instituição está ou possa vir a estar exposta.
Artigo 25.º
Processo de controlo de riscos
1 - Para garantir que os objetivos definidos são atingidos e que são tomadas as ações necessárias para responder adequadamente aos riscos previamente identificados, o órgão de administração, mediante parecer prévio das funções de gestão de riscos e de conformidade:
a) Aprova e revê uma política que estabeleça, de forma adequada, os objetivos globais da instituição e os objetivos específicos para cada unidade de estrutura, no que respeita ao perfil de risco e ao nível de tolerância ao risco, a qual deve ser revista com uma periodicidade mínima anual;
b) Estabelece políticas e procedimentos adequados para a identificação, avaliação, acompanhamento e controlo dos riscos a que a instituição está ou pode vir a estar exposta, assegurando a sua adequada implementação e cumprimento, que visem alcançar os objetivos definidos e que sistematizem, de forma clara e objetiva, quais e como devem ser executadas as tarefas a desempenhar por cada função;
c) Assegura que na definição e revisão das políticas e procedimentos previstos no presente Aviso são tidas em consideração todas as recomendações anteriormente emitidas pela função de auditoria interna sobre a matéria.
2 - As políticas e procedimentos referidos na alínea b) do n.º 1 asseguram, de forma tempestiva, a prevenção de situações imprevistas, indesejadas ou não autorizadas, bem como a deteção destas situações de modo a permitir a adoção imediata de medidas destinadas à sua correção quando, não obstante os procedimentos de prevenção, as mesmas ocorram.
3 - Para efeitos do disposto no número anterior, o órgão de administração assegura que são adotadas, numa base contínua e como parte integrante das atividades diárias da instituição, nomeadamente, as seguintes ações:
a) Recolha e manutenção de elementos, que documentem de forma objetiva as decisões tomadas e as operações realizadas, que permitam a sua reconstituição por ordem cronológica, num formato que seja facilmente acessível e percetível por terceiros;
b) Definição e aplicação de formulários padronizados conjugados com uma tipificação clara e objetiva de todos os elementos necessários para o processamento das operações;
c) Definição e aplicação de requisitos previamente definidos para aprovação, renovação ou alteração dos termos e condições das operações, devidamente ajustados ao risco existente, com a identificação clara das condições que devem ser previamente verificadas e a atribuição de competências inequívocas para a sua aprovação e renovação;
d) Análise prévia, autónoma e independente, pelas funções de gestão de riscos e de conformidade, de todas as operações relevantes para a instituição, em função do potencial impacto no perfil de risco da instituição, com ponderação adequada pelo órgão decisor dessas análises e identificação das razões subjacentes a eventuais decisões tomadas em sentido total ou parcialmente divergente com as mesmas;
e) Segregação de funções que envolvam responsabilidades conflituantes, nomeadamente, nas operações de crédito e de mercado, no que se refere à proposta apresentada pelas unidades geradoras de negócio ou tomadoras de risco, à análise, à autorização, à execução, ao registo, à guarda de valores e outra documentação e ao respetivo controlo;
f) Restrições de segurança no acesso a ativos, a recursos e à informação, através de barreiras físicas ou informáticas, que garantam a proteção contra utilizações não autorizadas, tanto intencionais como negligentes;
g) Obrigações de reporte, análise e decisão, sempre que ocorram desvios, erros, fraudes, incumprimentos e outras situações de exceção relativamente às políticas e aos procedimentos, em especial no que se refere aos limites definidos;
h) Implementação e manutenção de indicadores de alerta, incluindo indicadores de alerta precoce para identificação de situações de exceção que possam ter impacto material, designadamente que possam gerar um eventual desequilíbrio financeiro;
i) Definição de limites objetivos e prudentes para cada um dos riscos incorridos na atividade desenvolvida, até onde for adequado e possível;
j) Realização de verificações e reconciliações periódicas, devidamente consubstanciadas, à exatidão, completude, autenticidade e validade das operações registadas;
k) Implementação de métodos adequados de valorização de ativos, passivos e elementos extrapatrimoniais a aplicar com uma periodicidade adequada;
l) Definição, implementação e revisão periódica de planos de contingência e de continuidade de negócio, incluindo de funções subcontratadas, que incluam cenários de perturbação grave da respetiva atividade.
Artigo 26.º
Gestão de riscos pelas unidades geradoras de negócio
O órgão de administração, coadjuvado pelas funções de controlo interno da instituição, assegura que as unidades geradoras de negócio e demais unidades tomadoras de risco para a instituição:
a) Tomam decisões ponderadas pelo risco subjacente e dentro dos limites de tolerância ao risco definidos na política de risco da instituição;
b) Implementam os processos e os mecanismos de controlo necessários para assegurar que todos os riscos que assumem são devida e tempestivamente identificados, avaliados, acompanhados e controlados, de modo a garantir que permanecem dentro dos limites de tolerância ao risco definidos nas políticas de risco da instituição;
c) Implementam os processos e os mecanismos necessários para assegurar que todos os riscos assumidos são tempestivamente reportados às funções de controlo interno relevantes.
Artigo 27.º
Função de gestão de riscos
1 - O órgão de administração da instituição estabelece e mantém uma função de gestão de riscos que dá cumprimento ao disposto no artigo 115.º-M do Regime Geral das Instituições de Crédito e Sociedades Financeiras e que é responsável, nomeadamente, por:
a) Garantir que todos os riscos a que a instituição está ou pode vir a estar exposta são identificados, avaliados, acompanhados e controlados adequadamente e que são devidamente reportados a esta função por todas as unidades de estrutura;
b) Assegurar o desenvolvimento e submeter à aprovação do órgão de administração, após parecer prévio do órgão de fiscalização, de políticas e procedimentos para apoiar o sistema de gestão de riscos e a sua efetiva aplicação na instituição;
c) Participar na definição da estratégia de risco da instituição, bem como nas decisões relativas à gestão de riscos, apresentando uma visão global de todos os riscos a que a instituição está ou pode vir a estar exposta;
d) Promover a implementação e manutenção de um sólido quadro de gestão de riscos em toda a instituição;
e) Assegurar a aplicação e monitorização do cumprimento dos limites de tolerância ao risco aprovados pelo órgão de administração da instituição;
f) Identificar os riscos inerentes à atividade desenvolvida pela instituição, de forma individual, agregada, atual e prospetiva, avaliar esses riscos e medir a exposição aos mesmos, através de metodologias apropriadas;
g) Acompanhar, de forma adequada, tempestiva e permanente, as atividades geradoras de risco e as inerentes exposições ao mesmo, avaliando o seu enquadramento na tolerância ao risco aprovada, assegurando o planeamento prospetivo das correspondentes necessidades de capital e de liquidez em circunstâncias normais e adversas;
h) Colaborar na implementação das medidas de gestão de risco a adotar pelas diferentes unidades de estrutura da instituição que sejam tomadoras de riscos, incluindo pelas unidades geradoras de negócio, e monitorizar a sua aplicação, de modo a assegurar que os processos e mecanismos implementados de controlo e gestão dos riscos são adequados e eficazes;
i) Desenvolver, implementar e monitorizar o processo interno de autoavaliação da adequação do capital interno e o processo de autoavaliação da adequação da liquidez, bem como coordenar a elaboração dos respetivos relatórios;
j) Participar no processo de aprovação de novos produtos e serviços, mediante a avaliação prévia dos riscos associados ao seu lançamento e à capacidade de gestão desses riscos pela instituição;
k) Analisar previamente as operações com partes relacionadas, identificando e avaliando adequadamente os inerentes riscos reais ou potenciais para a instituição;
l) Analisar previamente e aconselhar os órgãos de administração e de fiscalização antes da tomada de decisões que envolvam a assunção de riscos significativos, designadamente quando estejam em causa operações de valor considerado elevado para a instituição, aquisições, alienações, fusões ou o lançamento de novas atividades, produtos ou serviços, com vista a assegurar uma oportuna e apropriada avaliação do impacto das mesmas no risco global da instituição e, quando aplicável, do grupo;
m) Desenvolver e implementar mecanismos de alerta tempestivos para situações de desvios ou de incumprimentos dos limites de tolerância ao risco;
n) Emitir recomendações baseadas nos resultados das avaliações realizadas e desenvolver um acompanhamento contínuo das situações identificadas, com uma periodicidade apropriada ao risco associado;
o) Fornecer informações, análises e avaliações periciais pertinentes e independentes sobre as posições de risco, além de emitir parecer sobre a compatibilidade das propostas e decisões relativas aos riscos face aos limites de tolerância ao risco definidos pela instituição;
p) Reportar de imediato aos órgãos de administração e de fiscalização incumprimentos relevantes das políticas e procedimentos definidos para apoiar o sistema de gestão de riscos no cumprimento dos limites de tolerância ao risco definidos, recomendando eventuais medidas destinadas à sua correção;
q) Reportar de imediato aos órgãos de administração e de fiscalização qualquer situação de incumprimento, real ou prospetivo, aos limites de tolerância ao risco definidos, incluindo as respetivas causas e a análise jurídica e económica do custo real de eliminar, reduzir ou compensar a posição em risco face ao possível custo da sua manutenção, informando as áreas em causa e recomendando eventuais soluções;
r) Elaborar, com uma periodicidade adequada, relatórios sobre gestão de risco, que incluam:
i) Uma avaliação do perfil global de risco da instituição, com detalhe relativo à exposição individual a cada uma das categorias de risco a que a instituição está ou pode vir a estar exposta;
ii) Uma síntese das deficiências detetadas por qualquer unidade de estrutura, no âmbito dos processos e controlos implementados, que sejam classificadas como deficiências de nível F3 "elevada" ou de nível F4 "severa", atendendo à metodologia de classificação constante de anexo à Instrução do Banco de Portugal n.º 18/2020;
iii) Uma síntese das demais deficiências detetadas, por qualquer unidade de estrutura, nas ações de controlo implementadas, incluindo deficiências isoladamente pouco relevantes, mas que possam, no seu conjunto, evidenciar uma deterioração da cultura organizacional da instituição e dos seus sistemas de governo e controlo interno;
iv) Identificação das recomendações emitidas e das medidas propostas a respeito das deficiências referidas nos números anteriores, com indicação sobre se foram ou não adotadas.
s) Elaborar, com periodicidade anual e com referência a 30 de novembro de cada ano, um relatório, a subscrever pelo responsável pela função de gestão de riscos, que inclua:
i) Uma avaliação da independência da função, com indicação da existência de quaisquer situações ou constrangimentos que a comprometam ou possam vir a comprometer;
ii) Uma descrição de todas as deficiências identificadas por qualquer entidade, interna ou externa à instituição, relativamente à própria função de gestão de riscos, que se mantenham em aberto, do grau de implementação das medidas destinadas à sua correção e indicação do prazo previsto para a sua resolução definitiva.
2 - Os relatórios referidos nas alíneas r) e s) do número anterior são disponibilizados, diretamente pelo responsável da função de gestão de riscos, aos órgãos de administração e de fiscalização e ao Comité de Riscos, quando constituído, bem como aos responsáveis pelas funções de conformidade e de auditoria interna.
3 - Sem prejuízo do referido na subalínea i) da alínea s) do n.º 1, quaisquer situações ou constrangimentos que comprometam ou possam vir a comprometer materialmente a independência da função de gestão de riscos são comunicadas, de imediato, aos órgãos de administração e de fiscalização da instituição, que devem analisar e documentar em ata as suas conclusões e as medidas determinadas para ultrapassar as situações identificadas.
4 - O órgão de administração, após parecer do órgão de fiscalização, pronuncia-se atempada e expressamente sobre cada um dos relatórios referidos nas alíneas r) e s) do n.º 1, nomeadamente sobre as recomendações para a adoção de medidas destinadas à correção de quaisquer deficiências detetadas e sobre as situações ou constrangimentos que afetem a independência da função de gestão de riscos.
5 - O órgão de administração assegura a efetiva implementação das medidas destinadas à correção de quaisquer deficiências detetadas ou que visem a introdução de melhorias na cultura organizacional e nos sistemas de governo e controlo interno da instituição, bem como das medidas destinadas a corrigir as situações ou constrangimentos que afetam ou possam a vir afetar significativamente a independência da função de gestão de riscos.
6 - A função de gestão de riscos dispõe de um regulamento próprio que, para além da descrição das responsabilidades atribuídas à função, concretiza e detalha todas as atividades e operações da instituição que carecem de análise pela função de gestão de riscos previamente à sua aprovação pelo órgão decisor competente.
Artigo 28.º
Função de conformidade
1 - O órgão de administração da instituição estabelece e mantém uma função de conformidade responsável, nomeadamente, por:
a) Acompanhar e avaliar regularmente a adequação e a eficácia das medidas e procedimentos adotados para detetar qualquer risco de incumprimento das obrigações legais, regulamentares e outros deveres a que a instituição se encontra sujeita, bem como das medidas tomadas para corrigir eventuais deficiências detetadas;
b) Aconselhar os órgãos de administração e de fiscalização, para efeitos do cumprimento das obrigações legais, regulamentares e outros deveres a que a instituição está ou estará sujeita;
c) Promover a elaboração, a aprovação, a aplicação, a verificação do cumprimento e a atualização periódica do código de conduta previsto no artigo 4.º;
d) Participar na definição das políticas e procedimentos adequados à implementação das regras contidas no código de conduta;
e) Analisar previamente, e aconselhar os órgãos de administração e de fiscalização antes da tomada de decisões que envolvam a assunção de riscos de conformidade relevantes;
f) Analisar previamente as operações com partes relacionadas, identificando e avaliando adequadamente os inerentes riscos de conformidade, reais ou potenciais, para a instituição;
g) Nos casos em que desempenhe funções em matéria de prevenção do branqueamento de capitais e do financiamento do terrorismo, participar na definição dos respetivos procedimentos de controlo interno, tanto pelo seu respetivo acompanhamento e avaliação, como pela centralização da informação de todas as áreas de negócio da instituição e pela realização das comunicações às autoridades competentes previstas na lei;
h) Prestar imediatamente aos órgãos de administração e de fiscalização toda a informação de que dispõe sobre quaisquer indícios de violação de obrigações legais e regulamentares a que a instituição se encontra sujeita, de regras de conduta e de relacionamento com clientes ou de outros deveres que possam fazer incorrer a instituição ou os seus colaboradores num ilícito de natureza contraordenacional ou causar impacto reputacional negativo;
i) Manter um registo dos incumprimentos e das medidas propostas e adotadas para os suprir, no seguimento da prestação da informação referida na alínea anterior, formalizado na base de dados referida no n.º 14 do artigo 31.º;
j) Manter um registo permanentemente atualizado e completo e proceder à gestão de reclamações apresentadas por clientes, elaborando e apresentando aos órgãos de administração e de fiscalização, com uma periodicidade adequada, relatórios detalhados quanto ao tipo e conteúdo das reclamações apresentadas, as medidas adotadas para as gerir, bem como as deficiências identificadas no sistema de controlo interno;
k) Participar na definição das políticas, procedimentos e dos normativos internos da instituição, nomeadamente em matéria de conflitos de interesses e transações com partes relacionadas e acompanhar a sua implementação e aplicação efetiva;
l) Participar no processo de aprovação de novos produtos e serviços, quer em momento prévio à sua aprovação, quer posteriormente à sua introdução de modo a assegurar que os mesmos cumprem com a legislação e regulamentação em vigor;
m) Acompanhar e monitorizar a aplicação dos procedimentos de governação sobre a comercialização de produtos, mediante o desenvolvimento de análises periódicas a esses procedimentos e a elaboração de propostas dirigidas ao órgão de administração e demais membros da direção de topo com vista à alteração de procedimentos instituídos, caso se verifiquem riscos atuais ou potenciais de incumprimentos legais ou regulamentares;
n) Efetuar testes de conformidade com as disposições legais e regulamentares, através de um programa próprio e estruturado de verificação do cumprimento, regularmente revisto e adaptado aos processos com maior risco de conformidade;
o) Elaborar um relatório anual, em matéria de conformidade, que inclua:
i) Uma avaliação do perfil global de risco de conformidade da instituição, com detalhe relativo à exposição a que a instituição está ou pode vir a estar exposta;
ii) Uma síntese das deficiências detetadas por qualquer unidade de estrutura, no âmbito dos processos e controlos implementados, que sejam classificadas como deficiências de nível F3 "elevada" ou de nível F4 "severa", atendendo à metodologia de classificação constante de anexo à Instrução do Banco de Portugal n.º 18/2020;
iii) Uma síntese das demais deficiências detetadas, por qualquer unidade de estrutura, nas ações de controlo implementadas, incluindo deficiências isoladamente pouco relevantes, mas que possam, no seu conjunto, evidenciar uma deterioração da cultura organizacional da instituição e dos seus sistemas de governo e controlo interno;
iv) Uma síntese dos incumprimentos referidos na alínea i) do presente número;
v) Identificação das recomendações emitidas e das medidas propostas destinadas à correção das deficiências e incumprimentos referidos nos números anteriores, com indicação sobre se foram ou não adotadas.
p) Elaborar, com periodicidade anual e com referência a 30 de novembro de cada ano, um relatório, a subscrever pelo responsável pela função de conformidade, que inclua o disposto na alínea s) do n.º 1 do artigo 27.º, relativamente à função de conformidade.
2 - Os relatórios referidos nas alíneas o) e p) do número anterior são disponibilizados, diretamente pelo responsável da função de conformidade, aos órgãos de administração e de fiscalização e ao Comité de Riscos, quando constituído, bem como aos responsáveis pelas funções de gestão de riscos e de auditoria interna.
3 - Quaisquer situações ou constrangimentos que comprometam ou possam vir a comprometer materialmente a independência da função de conformidade são comunicados, de imediato, aos órgãos de administração e de fiscalização da instituição que devem analisar e documentar em ata as suas conclusões e as medidas determinadas para ultrapassar as situações identificadas.
4 - O órgão de administração, após parecer do órgão de fiscalização, pronuncia-se atempada e expressamente sobre cada um dos relatórios referidos nas alíneas o) e p) do n.º 1, nomeadamente sobre as recomendações para a adoção de medidas destinadas à correção de quaisquer deficiências detetadas e sobre as situações ou constrangimentos que afetem a independência da função de conformidade.
5 - O órgão de administração assegura a efetiva implementação das medidas destinadas à correção de quaisquer deficiências detetadas ou que visem a introdução de melhorias na cultura organizacional e nos sistemas de governo e controlo interno da instituição, bem como das medidas destinadas a corrigir as situações ou constrangimentos que afetam ou possam a vir afetar significativamente a independência da função de conformidade.
6 - A função de conformidade e a função de gestão de riscos interagem entre si de forma a assegurar que dispõem da informação necessária, completa e tempestiva para o desempenho efetivo das respetivas funções.
7 - A função de conformidade dispõe de um regulamento próprio que, para além da descrição das responsabilidades atribuídas à função, concretiza e detalha todas as atividades e operações da instituição que carecem de análise pela função de conformidade previamente à sua aprovação pelo órgão decisor competente.
Secção IV
Processos de produção e tratamento de informação e fluxos de informação
Artigo 29.º
Processos de obtenção, produção e tratamento de informação
1 - O órgão de administração assegura que a instituição dispõe de processos adequados de obtenção, produção e tratamento de informação que permitem apoiar a tomada de decisões pelo órgão de administração e demais membros da direção de topo e o exercício das funções do órgão de fiscalização, que permitem o cumprimento das obrigações da instituição perante terceiros, incluindo as obrigações de reporte às autoridades de supervisão e que assegurem uma visão completa e íntegra sobre:
a) A situação financeira da instituição;
b) O desenvolvimento das suas atividades;
c) A execução da estratégia e o cumprimento dos objetivos definidos;
d) O perfil de risco global da instituição, em termos agregados e detalhados por risco;
e) O comportamento, evolução e perfil de risco do(s) mercado(s) onde a instituição está inserida.
2 - O órgão de administração é responsável pelo desenvolvimento, implementação e manutenção de processos formais de obtenção, produção e tratamento de informação substantiva, apropriados à dimensão, natureza, âmbito e complexidade das atividades desenvolvidas, bem como à apetência para o risco da instituição, que garantam a sua fiabilidade, integridade, consistência, completude, validade, tempestividade, acessibilidade e granularidade.
3 - Considerando as disposições legais e regulamentares aplicáveis às atividades da instituição, tais processos incluem a produção e tratamento de informação financeira e contabilística, mas também a informação relativa aos riscos e, quando aplicável, informação não financeira.
4 - O processo de informação assenta numa arquitetura de dados e infraestrutura de sistemas de informação adequada que registe, classifique, associe e arquive, tempestivamente e de forma sistematizada, fiável, completa e consistente, todas as operações realizadas pela instituição, permitindo a validação de informação mediante o cruzamento entre bases de dados relacionadas.
5 - O órgão de administração implementa mecanismos de controlo, que incluem a intervenção das funções de controlo interno no âmbito das respetivas competências, com vista a garantir que toda a informação produzida pela instituição é fiável, íntegra, consistente, completa, atual, tempestiva, acessível e granular.
6 - Os órgãos de administração e de fiscalização, no âmbito das respetivas competências, são responsáveis por assegurar a fiabilidade, integridade, consistência, completude, validade, tempestividade, acessibilidade e granularidade de toda a informação produzida pela instituição, tanto pela informação destinada a ser utilizada exclusivamente por esta, como pela informação que se destina a ser divulgada para o exterior, incluindo a informação constante dos reportes a efetuar às autoridades de supervisão respetivas.
7 - O órgão de administração assegura que a adequação dos processos de obtenção, produção e tratamento de informação implementados na instituição, bem como dos mecanismos de controlo referidos no n.º 5, são objeto de avaliações periódicas independentes, a realizar por entidade externa à instituição.
8 - Para efeitos do disposto no presente artigo, a instituição recolhe e mantém apenas os dados pessoais necessários à prossecução dos objetivos que se pretende atingir.
Artigo 30.º
Fluxos de informação
1 - O órgão de administração assegura que a instituição possui processos formais, transparentes, relevantes e ajustados às necessidades da instituição que:
a) Garantem uma comunicação eficaz através da organização;
b) Asseguram a transmissão tempestiva e adequada da informação para os intervenientes e destinatários apropriados, incluindo as autoridades de supervisão;
c) São abrangentes e compreensíveis;
d) Facilitam o processo de tomada de decisão através da existência de fluxos de informação que observem o disposto no n.º 2.
2 - O órgão de administração assegura que a estrutura organizacional da instituição:
a) Promove o fluxo de informação necessário entre as partes relevantes num processo;
b) Inclui uma descrição adequada dos deveres e responsabilidades dos colaboradores, incluindo os membros dos órgãos de administração e de fiscalização, em matéria de fluxos de informação;
c) Assegura a confidencialidade necessária nos fluxos de informação.
3 - O órgão de administração assegura que os fluxos de informação entre as funções de controlo interno e os órgãos de administração e de fiscalização são adequados e garantem, nomeadamente, que o processo de tomada de decisão beneficia do contributo das funções de controlo interno.
4 - O órgão de administração assegura que a conformidade dos fluxos de informação instituídos na instituição com o disposto no presente artigo é objeto de avaliações periódicas independentes, a realizar por entidade externa à instituição.
Secção V
Monitorização da cultura organizacional e dos sistemas de governo e controlo interno
Artigo 31.º
Processo de monitorização
1 - O órgão de administração aprova e é responsável pela implementação de um processo de monitorização que compreende todas as ações e avaliações de controlo desenvolvidas pela instituição com vista a garantir a adequação e eficácia da cultura organizacional da instituição e dos sistemas de governo e controlo interno, nomeadamente, através da identificação de deficiências na conceção dos controlos, incluindo as relacionadas com a inexistência de controlos, e na sua implementação.
2 - As responsabilidades atribuídas às funções de gestão de riscos e de conformidade nos termos do disposto nos artigos 27.º e 28.º correspondem a ações e avaliações de controlo desenvolvidas pela instituição.
3 - O órgão de administração é responsável por assegurar que as ações e avaliações de controlo referidas nos números anteriores são executadas numa base contínua e como parte integrante das atividades diárias da instituição, sendo complementadas por avaliações autónomas, específicas, periódicas ou extraordinárias, eficazes e completas a realizar pela função de auditoria interna.
4 - A frequência das avaliações referidas no número anterior depende da natureza e magnitude dos riscos inerentes à atividade desenvolvida e da eficácia dos controlos específicos associados.
5 - Encontram-se dispensadas de realizar as avaliações autónomas referidas no n.º 3 as instituições em que o estabelecimento da função de auditoria interna não seja exigível nos termos do disposto na alínea a) do n.º 3 do artigo 16.º
6 - Os colaboradores da instituição participam nas ações de controlo, nomeadamente através da execução de procedimentos de revisão das tarefas executadas, previamente à sua formalização ou transmissão a terceiros, e da comunicação a nível hierárquico superior de todas as deficiências que detetem ou tomem conhecimento.
7 - A gestão intermédia desenvolve ações de controlo sobre as áreas da sua responsabilidade, verificando se os colaboradores desempenham adequadamente as suas funções, analisando eventuais desvios face aos objetivos estabelecidos, mantendo um ambiente de controlo e canais de comunicação apropriados e suficientes e assegurando que os riscos se encontram devidamente identificados e geridos.
8 - As ações de controlo são também realizadas pelo órgão de administração e demais membros da direção de topo, ainda que focalizadas na cultura organizacional, na estrutura de governo interno, nas principais áreas de negócio e de suporte e na evolução dos objetivos globais da instituição, bem como nas alterações internas e externas que possam comprometer a execução da estratégia e os objetivos definidos.
9 - O órgão de fiscalização realiza ações de controlo dentro das suas competências legais e regulamentares, mantendo um plano plurianual de atividades aprovado e atualizado, que é disponibilizado, de imediato, à autoridade de supervisão competente, sempre que solicitado.
10 - O plano de atividades referido no número anterior inclui uma descrição dos meios materiais, técnicos e humanos necessários para coadjuvar os membros do órgão de fiscalização no exercício das suas funções, os quais são disponibilizados pelo órgão de administração.
11 - As deficiências detetadas no âmbito das ações de controlo referidas nos números anteriores que, quando consideradas individualmente ou quando agregadas, ou por via da sua previsível ocorrência continuada, tenham um dos impactos estabelecidos na metodologia de classificação de deficiências constante de anexo à Instrução do Banco de Portugal n.º 18/2020, são comunicadas, de imediato, à função de gestão de riscos, à função de conformidade ou à função de auditoria interna, consoante apropriado, que passa a ser responsável pela monitorização da implementação das medidas destinadas a corrigi-las.
12 - O órgão de administração é responsável por assegurar que todas as deficiências identificadas são devidamente registadas e reportadas aos níveis de gestão apropriados, de modo a possibilitar a adoção tempestiva de medidas adequadas destinadas a corrigi-las.
13 - Para efeitos do disposto no número anterior, o órgão de administração assegura que a instituição dispõe de uma base de dados de todas as deficiências, que inclui as deficiências detetadas por entidades terceiras, incluindo por autoridades de supervisão, que abrange o grupo no caso de se tratar de uma empresa-mãe, e que compreende, pelo menos:
a) A descrição de cada deficiência, com identificação da unidade de estrutura a que respeita;
b) A classificação de cada deficiência, atendendo à metodologia de classificação de deficiências constante de anexo à Instrução do Banco de Portugal n.º 18/2020;
c) A data em que a deficiência foi identificada e a função, órgão da instituição ou entidade externa responsável pela identificação, sendo que, no caso em que tenha sido identificada pelo revisor oficial de contas ou sociedade de revisores oficiais de contas, é incluída referência ao relatório ou parecer em que essa deficiência foi identificada;
d) A descrição das medidas destinadas a corrigi-la, o seu estado de implementação e a data prevista para a sua resolução definitiva;
e) A identificação do colaborador da unidade de estrutura a que respeita a deficiência a quem foi atribuída a responsabilidade por assegurar a implementação das medidas destinadas a corrigi-la e identificação da função de controlo interno responsável pela monitorização da implementação dessas medidas;
f) A data de resolução de cada deficiência.
14 - O órgão de administração assegura que a instituição dispõe de uma base de dados de todos os incumprimentos detetados, a que se aplica, com as necessárias adaptações, o disposto no número anterior, com exceção da alínea b).
15 - No âmbito das suas competências de supervisão, a autoridade de supervisão competente pode, a todo o tempo, consultar as bases de dados referidas nos números anteriores e solicitar informações sobre o seu conteúdo.
16 - Caso entidades terceiras, incluindo as autoridades de supervisão, detetem e comuniquem à instituição deficiências na cultura organizacional e nos sistemas de governo e controlo interno, os níveis de gestão apropriados e, quando adequado, o órgão de administração, adotam tempestivamente as medidas adequadas e consideradas necessárias para as corrigir.
17 - A eficácia e adequação das medidas implementadas para suprir quaisquer deficiências detetadas, são validadas pela função de controlo interno responsável pela monitorização da sua implementação, em articulação com a(s) unidade(s) de estrutura a que as deficiências respeitam.
18 - Para assegurar o cumprimento do disposto no presente artigo, o órgão de administração aprova políticas e procedimentos concretos, eficazes e adequados, para o processo de monitorização da cultura organizacional e dos sistemas de governo e controlo interno, assegurando a sua implementação e cumprimento.
Artigo 32.º
Função de auditoria interna
1 - O órgão de administração da instituição estabelece e mantém uma função de auditoria interna responsável, nomeadamente, por:
a) Elaborar e manter atualizado um plano plurianual de ações de auditoria para examinar e avaliar a adequação e a eficácia da cultura organizacional e dos sistemas de governo e controlo interno da instituição, bem como das respetivas componentes individualmente consideradas, incluindo órgãos sociais e respetivos comités de apoio, assegurando a sua execução de acordo com a calendarização proposta pelo responsável pela função e aprovada pelo órgão de administração;
b) Emitir recomendações baseadas nos resultados das avaliações realizadas e promover um acompanhamento contínuo das deficiências identificadas, com periodicidade apropriada ao risco associado, no sentido de garantir que as medidas destinadas à sua correção são adequadas e tempestivamente implementadas;
c) Elaborar e apresentar aos órgãos de administração e de fiscalização um relatório, de periodicidade pelo menos anual, com uma avaliação global:
i) Da adequação e eficácia, como um todo, da cultura organizacional da instituição e dos seus sistemas de governo e controlo interno, incluindo as diversas componentes de ambos os sistemas;
ii) Da atuação dos órgãos de administração e de fiscalização e dos seus comités de apoio, quando constituídos, no âmbito referido na subalínea anterior;
iii) Das deficiências detetadas nas ações de controlo, classificadas como deficiências de nível F3 "elevada" ou de nível F4 "severa", atendendo à metodologia de classificação constante de anexo à Instrução do Banco de Portugal n.º 18/2020, e de outras deficiências isoladamente pouco relevantes, mas que possam, no seu conjunto, evidenciar uma deterioração da cultura organizacional da instituição e dos seus sistemas de governo e controlo interno;
iv) Das recomendações emitidas e das medidas propostas destinadas à correção das deficiências referidas na alínea anterior, com indicação sobre se foram ou não adotadas.
d) Elaborar, com periodicidade anual e com referência a 30 de novembro de cada ano, um relatório a subscrever pelo responsável pela função de auditoria interna, que inclua:
i) Uma avaliação da independência da função, com indicação da existência de quaisquer situações ou constrangimentos que a comprometam ou possam vir a comprometer;
ii) Uma descrição de todas as deficiências identificadas por qualquer entidade, interna ou externa à instituição, relativamente à própria função de auditoria interna, que se mantenham em aberto, do grau de implementação das medidas destinadas à sua correção e indicação do prazo previsto para a sua resolução definitiva;
iii) Quando aplicável, os principais resultados de avaliações externas efetuadas à função de auditoria interna.
2 - O plano plurianual de ações de auditoria referido na alínea a) do n.º 1 inclui uma descrição dos meios materiais, técnicos e humanos necessários para garantir um exame abrangente, orientado para o risco, de todas as atividades, sistemas e processos da instituição, com vista a avaliar globalmente a adequação e a eficácia da cultura organizacional, das estruturas de governo interno e do sistema de controlo interno da instituição, num horizonte temporal adequado.
3 - Os relatórios referidos nas alíneas c) e d) do n.º 1 são disponibilizados de imediato, diretamente pelo responsável pela função de auditoria interna, aos órgãos de administração e de fiscalização e ao Comité de Riscos, quando constituído.
4 - Sem prejuízo do referido na subalínea i) da alínea d) do n.º 1, quaisquer situações ou constrangimentos que comprometam ou possam vir a comprometer materialmente a independência da função de auditoria interna são comunicadas, de imediato, aos órgãos de administração e de fiscalização da instituição que devem analisar e documentar em ata as suas conclusões e as medidas determinadas para ultrapassar as situações identificadas.
5 - O órgão de administração, após parecer do órgão de fiscalização, pronuncia-se atempada e expressamente sobre cada um dos relatórios referidos nas alíneas c) e d) do n.º 1.
6 - O órgão de administração assegura a efetiva implementação das medidas destinadas à correção de quaisquer deficiências detetadas ou que visem a introdução de melhorias na cultura organizacional e nos sistemas de governo e controlo interno da instituição, bem como das medidas destinadas a corrigir as situações ou constrangimentos que afetam a independência da função de auditoria interna.
7 - Para efeitos de um adequado desempenho da função de auditoria interna, os órgãos de administração e de fiscalização:
a) Asseguram que a função de auditoria interna desenvolve a sua atividade em conformidade com as normas e com os princípios de auditoria interna reconhecidos e aceites a nível internacional;
b) Aprovam, anualmente, o plano de ações de auditoria para o ano seguinte, bem como apreciam a adequação do plano plurianual para garantir o cumprimento do disposto no n.º 2;
c) Asseguram que, para cada avaliação realizada pela função de auditoria interna:
i) É delineado um programa que define os objetivos da auditoria, identifica as atividades e os procedimentos de controlo interno objeto de revisão e estabelece os recursos necessários para a sua execução;
ii) São claramente definidos os critérios para avaliar a adequação de políticas, procedimentos e controlos específicos implementados pela instituição;
iii) É elaborado um relatório que contém os resultados da avaliação.
d) Asseguram que as deficiências identificadas pela auditoria interna, assim como as consequentes recomendações emitidas, são registadas e reportadas diretamente ao órgão de administração e, quando classificadas como deficiências de nível F3 "elevada" ou de nível F4 "severa", atendendo à metodologia de classificação constante de anexo à Instrução do Banco de Portugal n.º 18/2020, também ao órgão de fiscalização, de modo a garantir que a avaliação não é enviesada e que as questões identificadas são prontamente tomadas em consideração;
e) Asseguram que as deficiências identificadas são objeto de um acompanhamento contínuo por parte da função de auditoria interna e que as medidas destinadas à sua correção são adotadas de forma tempestiva e efetiva pela unidade de estrutura a que respeitam.
8 - A adequação e a eficácia da função de auditoria interna são objeto de avaliações independentes, a realizar periodicamente, no mínimo de cinco em cinco anos, por entidade externa à instituição.
Capítulo V
Partes relacionadas e conflitos de interesses
Artigo 33.º
Partes relacionadas
1 - O órgão de administração é responsável por assegurar que a instituição identifica, numa lista completa e atualizada pelo menos trimestralmente, as suas partes relacionadas, disponibilizando-a à autoridade de supervisão competente sempre que solicitado.
2 - A lista referida no número anterior inclui nome ou denominação da parte relacionada, o número de identificação fiscal ou número de identificação de pessoa coletiva ou equivalente e a respetiva percentagem de todas as participações diretas e indiretas, quando aplicável, sendo aprovada pelo órgão de administração da instituição e objeto de tomada de conhecimento pelo órgão de fiscalização.
3 - Para efeitos do disposto no presente Aviso, correspondem a partes relacionadas com a instituição:
a) Participantes qualificados da instituição e outras pessoas ou entidades abrangidas pelo regime previsto no artigo 109.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras;
b) Membros dos órgãos de administração e de fiscalização;
c) Cônjuge, unido de facto, parente ou afim em 1.º grau dos membros dos órgãos de administração e de fiscalização;
d) Uma sociedade na qual um membro do órgão de administração ou do órgão de fiscalização, ou o seu cônjuge, unido de facto, parente ou afim em 1.º grau detém uma participação qualificada igual ou superior a 10 % do capital ou dos direitos de voto, ou na qual essas pessoas exerçam influência significativa ou exerçam cargos de direção de topo ou funções de administração ou fiscalização;
e) Entidades relativamente às quais existe uma relação de interdependência económica, nomeadamente devido à sua inserção numa relação entrecruzada de participações com diversas outras entidades ou que, por estarem de tal forma ligadas à instituição, na eventualidade de uma delas se deparar com problemas financeiros, a instituição terá também dificuldades financeiras;
f) As pessoas ou entidades, incluindo, nomeadamente, depositantes, credores, devedores, entidades participadas pela instituição, colaboradores da instituição ou colaboradores de outras entidades pertencentes ao mesmo grupo, cuja relação com a instituição lhes permita, potencialmente, influenciar a sua gestão, no sentido de conseguir um relacionamento comercial fora das condições normais de mercado.
4 - Sem prejuízo do disposto no Regime Geral das Instituições de Crédito e Sociedades Financeiras e demais legislação aplicável, o órgão de administração assegura que as transações em que a instituição participa e que envolvam partes relacionadas são efetuadas em condições de mercado, sendo aprovadas por um mínimo de dois terços dos seus membros, depois de obtidos os pareceres prévios das funções de gestão de riscos e de conformidade e do órgão de fiscalização.
5 - Nos casos excecionais em que a instituição, de forma fundamentada, considere que é impossível definir quais as condições de mercado aplicáveis a uma operação, é definido um processo interno que permita à instituição fixar um referencial de comparabilidade entre a operação em causa e outras operações semelhantes, de forma a evitar beneficiar a parte relacionada face a uma outra entidade que não tenha esse tipo de relação com a instituição.
6 - O órgão de administração aprova uma política interna para os efeitos previstos no presente artigo, após parecer prévio do órgão de fiscalização, que detalha, nomeadamente, o envolvimento e as responsabilidades das funções de controlo interno, tanto no processo de identificação como no processo de análise de uma transação com uma parte relacionada com a instituição.
7 - O órgão de administração assegura que a política referida no número anterior se encontra adequadamente implementada na instituição, que é objeto de revisões periódicas e que é divulgada internamente a todos os colaboradores, sendo também divulgada no sítio da internet da instituição.
Artigo 34.º
Conflitos de interesses
1 - O órgão de administração aprova, após parecer prévio do órgão de fiscalização, uma política de prevenção, comunicação e sanação de conflitos de interesses, aplicável aos membros dos órgãos de administração e de fiscalização, demais membros da direção de topo, titulares de funções essenciais e restantes colaboradores da instituição.
2 - A política de prevenção, comunicação e sanação de conflitos de interesses aplica-se a conflitos de interesses atuais ou potenciais e abrange conflitos de interesses institucionais e conflitos de interesses respeitantes aos colaboradores, incluindo, neste caso, conflitos de interesses financeiros, profissionais, pessoais e políticos.
3 - O órgão de administração assegura que a política de prevenção, comunicação e sanação de conflitos de interesses da instituição inclui, pelo menos, os seguintes elementos:
a) A obrigação de os colaboradores abrangidos evitarem situações que possam dar origem a conflitos de interesses;
b) A obrigação de comunicação imediata à instituição de toda e qualquer situação de conflitos de interesses abrangida pela política e o procedimento que os colaboradores observam para o efeito, incluindo o conteúdo mínimo das informações a transmitir à instituição para efeitos de avaliação da existência de situações de conflitos de interesses, atuais ou potenciais e de ponderação da sua relevância;
c) O procedimento a observar previamente à aceitação de um cargo ou função a exercer em acumulação com o cargo exercido na instituição;
d) Um elenco exemplificativo de medidas para mitigar conflitos de interesse institucionais ou conflitos de interesses respeitantes aos colaboradores;
e) A obrigação de a instituição proceder ao registo dos conflitos de interesses dos colaboradores abrangidos pela política, bem como das medidas implementadas ou a implementar para os gerir, de forma a permitir a sua monitorização e avaliação contínua;
f) O procedimento a observar pela instituição no que respeita à avaliação de situações comunicadas de conflitos de interesses, em especial nos casos em que o conflito de interesses é aceite, incluindo a necessidade dessa avaliação ser adequadamente documentada e as funções intervenientes em cada fase do referido procedimento;
g) As seguintes regras, a serem observadas por todos os colaboradores da instituição, incluindo pelos membros dos órgãos de administração e de fiscalização, relativamente a liberalidades:
i) A proibição de aceitarem, em benefício próprio ou de terceiros, ofertas e outros benefícios ou recompensas de algum modo relacionadas com as funções exercidas, devendo as mesmas ser recusadas e devolvidas, com exceção do previsto no número seguinte;
ii) A possibilidade de aceitarem ofertas e outros benefícios ou recompensas de mera hospitalidade conformes com os usos sociais, desde que não constituam vantagem patrimonial ou não patrimonial relevante;
iii) A necessidade de comunicação imediata, à função de conformidade, de todas e quaisquer ofertas e outros benefícios ou recompensas, para análise, decisão quanto à forma de atuação e correspondente registo.
h) As consequências do seu incumprimento.
4 - Os conflitos de interesses abrangidos pela política de prevenção, comunicação e sanação de conflitos de interesses incluem eventuais conflitos de interesses resultantes de cargos exercidos no passado e de relações pessoais e profissionais passadas, devendo a política em causa consagrar o período temporal relevante a considerar para esse efeito.
5 - O órgão de administração assegura que a política referida no presente artigo se encontra adequadamente implementada na instituição, que é objeto de revisões periódicas e que é divulgada internamente a todos os colaboradores, sendo também divulgada no sítio da internet da instituição.
Capítulo VI
Participação de irregularidades
Artigo 35.º
Participação de irregularidades
1 - O órgão de administração assegura que a instituição dispõe de uma política de participação de irregularidades que observe o disposto no artigo 116.º-AA do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
2 - A política de participação de irregularidades prevista no número anterior deve, pelo menos:
a) Definir um procedimento interno autónomo de participação de irregularidades que seja concebido e implementado de forma a garantir a confidencialidade da identidade dos denunciantes, dos visados na irregularidade participada, de terceiros mencionados na participação e a impedir acessos não autorizados;
b) Estabelecer que qualquer participação pode ser apresentada por escrito, verbalmente ou em reunião prevendo-se que esta ocorre com a maior brevidade possível, atendendo à gravidade da participação recebida;
c) Definir a unidade de estrutura ou órgão da instituição que, em articulação com o órgão de fiscalização, é responsável pela monitorização da implementação do procedimento autónomo de participação de irregularidades e por assegurar que o processo referido na alínea f) é adequadamente implementado e que são efetivamente adotadas as medidas consideradas adequadas;
d) Consagrar expressamente a possibilidade de serem admitidas participações anónimas;
e) Prever que, quando a participação é feita por escrito, é enviado ao denunciante um aviso de receção da participação, no prazo de sete dias a contar da data de receção da mesma, exceto quando a participação seja anónima;
f) Consagrar um processo destinado a assegurar que todas as participações efetuadas são registadas em base de dados própria e sujeitas a análise, que é elaborado um relatório fundamentado sobre as mesmas, com indicação das medidas a adotar ou com uma justificação para a não adoção de quaisquer medidas;
g) Prever que a informação constante da participação deve, caso tal seja requerido pelo denunciante, ser transmitida de forma anónima a todos os intervenientes da instituição no processo;
h) Quando a denúncia não for anónima, estabelecer um prazo razoável para responder ao denunciante que não exceda três meses após o envio do aviso de receção referido na alínea e);
i) Estabelecer que as irregularidades participadas são transmitidas ao nível hierárquico superior dos visados na denúncia, caso esta transmissão não coloque em causa as finalidades do procedimento de participação de irregularidades e, se for caso disso, à respetiva autoridade de supervisão competente;
j) Estabelecer que os colaboradores da instituição que participem irregularidades não são alvo de retaliação, discriminação ou outro tipo de tratamento injusto.
3 - A autoridade de supervisão competente pode exigir a apresentação do relatório referido na alínea f) do número anterior, durante o respetivo prazo de conservação.
4 - O conteúdo mínimo do relatório anual previsto no n.º 7.º do artigo 116.º-AA do Regime Geral das Instituições de Crédito e Sociedades Financeiras é definido na Instrução do Banco de Portugal n.º 18/2020.
5 - O órgão de administração assegura que a política referida no presente artigo se encontra adequadamente implementada na instituição, que é objeto de revisões periódicas e que é divulgada internamente a todos os colaboradores, sendo também divulgada no sítio da internet da instituição.
6 - Para além do disposto no n.º 2, a política de participação de irregularidades das instituições que integram o Sistema Integrado do Crédito Agrícola Mútuo estabelece que o relatório referido na alínea f) do n.º 2 é remetido à Caixa Central do Crédito Agrícola Mútuo no prazo de 5 dias após a sua conclusão.
7 - A Caixa Central do Crédito Agrícola Mútuo pode solicitar às instituições referidas no número anterior os esclarecimentos e a realização das diligências adicionais que considerar necessárias ao cabal esclarecimento da irregularidade participada e à avaliação da adequação das eventuais medidas adotadas ou a adotar.
Capítulo VII
Subcontratação
Artigo 36.º
Subcontratação de tarefas operacionais das funções de controlo interno
1 - As instituições podem subcontratar tarefas operacionais específicas das funções de controlo interno, caso a subcontratação não tenha impacto negativo na eficiência do sistema de controlo interno e desde que obtido o prévio consentimento dos órgãos de administração e de fiscalização.
2 - A subcontratação referida no número anterior apenas pode ocorrer de forma ocasional, salvo situações excecionais, devidamente fundamentadas.
3 - O órgão de administração das instituições que procedam à subcontratação referida no número anterior assegura que:
a) A subcontratação de tarefas operacionais específicas das funções de controlo interno está contemplada na política de subcontratação de atividades da instituição, que prevê que as tarefas subcontratadas são objeto de avaliação e monitorização contínuas, de modo a permitir, nomeadamente, a identificação, avaliação, acompanhamento e controlo de todos os riscos decorrentes da subcontratação dessas tarefas;
b) A entidade prestadora do serviço não se encontra estabelecida em jurisdição com um regime legal que preveja proibições ou restrições que impeçam ou limitem o cumprimento, pela instituição, das normas legais e regulamentares que regem a respetiva atividade, incluindo ao nível da prestação e circulação de informação;
c) A entidade prestadora do serviço dispõe da capacidade técnica e humana necessária para realizar as tarefas operacionais subcontratadas de forma eficaz, independente, confiável e profissional, dando cumprimento às disposições legais e regulamentares aplicáveis;
d) O responsável pela função de controlo interno em causa assegura, nomeadamente, que a entidade prestadora do serviço dispõe de toda a informação e elementos necessários para realizar as tarefas operacionais subcontratadas, monitoriza a sua execução e avalia o desempenho do prestador de serviços.
4 - As tarefas operacionais das funções de controlo interno podem ser subcontratadas para a empresa-mãe ou para outra entidade do grupo, nos termos dos números anteriores, desde que obtido o prévio consentimento dos órgãos de administração e de fiscalização de todas as entidades envolvidas.
5 - Quando a subcontratação de tarefas operacionais das funções de controlo interno ocorra dentro do grupo, as instituições asseguram que todos os potenciais conflitos de interesses são identificados antecipadamente e que são implementadas as medidas adequadas com vista à sua gestão e mitigação.
6 - A subcontratação de tarefas operacionais prevista no presente artigo é formalizada através de contrato escrito.
7 - O órgão de administração permanece responsável por todas as tarefas subcontratadas e pelo cumprimento das respetivas obrigações legais e regulamentares.
8 - A subcontratação de tarefas não pode criar, quer à instituição contratante quer à autoridade de supervisão competente, quaisquer constrangimentos no acesso a toda a informação relacionada com a mesma, incluindo o acesso irrestrito às instalações onde os serviços são prestados ou à realização de ações de auditoria ou de inspeção, durante ou após a realização das tarefas em causa.
9 - O órgão de administração assegura a existência de um registo permanentemente atualizado com a identificação e descrição sumária de todas as tarefas subcontratadas nos termos do presente artigo e das entidades prestadoras do serviço.
Artigo 37.º
Subcontratação do sistema informático de suporte à participação de irregularidades
1 - Caso a natureza, nível e complexidade das atividades prosseguidas pela instituição não justifique a implementação, na instituição, de um sistema informático de suporte à participação de irregularidades prevista no artigo 116.º-AA do Regime Geral das Instituições de Crédito e Sociedades Financeiras, a instituição pode proceder à sua subcontratação nos termos do disposto no presente artigo.
2 - A subcontratação do sistema informático de suporte à participação de irregularidades referida no número anterior observa, pelo menos, o seguinte:
a) A instituição designa um responsável pela subcontratação do referido sistema informático de suporte à participação de irregularidades o qual, juntamente com os órgãos de administração e de fiscalização, permanece responsável pelo cumprimento dos requisitos aplicáveis;
b) A subcontratação do sistema informático de suporte à participação de irregularidades não obsta ao cumprimento do disposto no artigo 116.º-AA do Regime Geral das Instituições de Crédito e Sociedades Financeiras, nomeadamente, o acompanhamento e análise, pelo órgão de fiscalização, de qualquer participação efetuada e ao cumprimento do disposto no artigo 35.º;
c) Permite a elaboração, pela própria instituição, do relatório anual referido no n.º 7 do artigo 116.º-AA do Regime Geral das Instituições de Crédito e Sociedades Financeiras e o seu atempado envio à autoridade de supervisão competente, nos termos da Instrução do Banco de Portugal n.º 18/2020.
3 - O disposto no artigo 36.º é aplicável à subcontratação do sistema de participação de irregularidades.
4 - O órgão de administração assegura que a qualidade do sistema informático subcontratado é objeto de avaliação regular pela função de auditoria interna da instituição.
5 - A avaliação a realizar nos termos do número anterior inclui controlo de qualidade, revisão dos controlos gerais de tecnologias de informação e conformidade do sistema informático com a legislação e regulamentação aplicáveis e com os normativos internos em vigor na instituição.
Capítulo VIII
Seleção e designação do revisor oficial de contas ou sociedade de revisores oficiais de contas e contratação de serviços distintos de auditoria não proibidos
Artigo 38.º
Política de seleção e designação
1 - A assembleia geral da instituição aprova, após parecer prévio do órgão de fiscalização, uma política de seleção e designação do revisor oficial de contas ou sociedade de revisores oficiais de contas e de contratação de serviços distintos de auditoria não proibidos, nos termos da legislação em vigor.
2 - O órgão de fiscalização assegura que a política referida no presente artigo se encontra adequadamente implementada na instituição e que é objeto de revisões periódicas.
3 - Os órgãos de administração e de fiscalização, no âmbito das respetivas competências legais, são responsáveis por assegurar que a política é divulgada internamente a todos os colaboradores, sendo também divulgada no sítio da internet da instituição.
Artigo 39.º
Conteúdo da política de seleção e designação
Sem prejuízo do disposto na legislação aplicável, o órgão de fiscalização assegura que a política referida no artigo anterior inclui, pelo menos, os seguintes elementos:
a) O processo aplicável para efeitos de seleção e designação do revisor oficial de contas ou sociedade de revisores oficiais de contas que prestará os serviços de auditoria;
b) Os critérios de seleção, com a respetiva ponderação, que serão utilizados pela instituição para avaliar as propostas apresentadas, não devendo ser atribuída uma relevância significativa ao critério preço;
c) A obrigatoriedade de o processo de seleção e designação do revisor oficial de contas ou sociedade de revisores oficiais de contas ser iniciado pela instituição com a antecedência necessária de modo a assegurar o cumprimento do disposto na legislação e regulamentação aplicável e de modo a assegurar a inexistência de disrupções de atividade em caso de nomeação de um novo revisor oficial de contas ou sociedade de revisores oficiais de contas;
d) O processo aplicável para efeitos de renovação do mandato do revisor oficial de contas ou sociedade de revisores oficiais de contas, incluindo uma avaliação das matérias previstas nas alíneas d) e e) do n.º 3 do artigo 3.º da Lei 148/2015, de 9 de setembro;
e) O processo que se encontra implementado na instituição para efeitos de acompanhamento e verificação, pelo órgão de fiscalização, dos serviços prestados pelo revisor oficial de contas ou sociedade de revisores oficiais de contas;
f) O processo que se encontra implementado na instituição para efeitos de fiscalização, pelo órgão de fiscalização, da independência do revisor oficial de contas ou sociedade de revisores oficiais de contas, designadamente no que respeita à prestação de serviços distintos de auditoria não proibidos;
g) O processo aplicável para efeitos de contratação de serviços distintos de auditoria não proibidos, incluindo a sua avaliação e fundamentação pelo órgão de fiscalização;
h) A obrigatoriedade de todos os envolvidos no processo de seleção e designação do revisor oficial de contas ou sociedade de revisores oficiais de contas e de contratação de serviços não proibidos frequentarem, com uma periodicidade regular, ações de formação sobre a matéria e sobre as responsabilidades que lhes são conferidas pela lei e pela política.
Capítulo IX
Políticas e práticas remuneratórias e avaliação de desempenho
Secção I
Aspetos Gerais
Artigo 40.º
Regras gerais
1 - O órgão de administração assegura que a instituição define, implementa e avalia, de forma adequada, a sua política de remuneração e formaliza em documentos específicos os respetivos procedimentos e todos os outros elementos necessários à sua definição, implementação, avaliação e revisão periódica.
2 - A política de remuneração é transparente e acessível a todos os colaboradores, incluindo aos membros dos órgãos de administração e de fiscalização da instituição.
Artigo 41.º
Processo de identificação de colaboradores
1 - O órgão de administração das instituições a que se aplicam as normas técnicas de regulamentação para efeitos dos critérios qualitativos e quantitativos adequados para identificar as categorias de pessoal cujas atividades profissionais têm um impacto significativo no seu perfil de risco:
a) Define e aprova um processo de identificação dos colaboradores que têm impacto material no perfil de risco da instituição, que dê cumprimento ao disposto nessas normas técnicas de regulamentação;
b) Assegura que a identificação dos colaboradores que têm impacto material no perfil de risco da instituição é objeto de revisão com uma periodicidade mínima anual;
c) Assegura que o universo de colaboradores que têm impacto material no perfil de risco da instituição é reportado à autoridade de supervisão competente nos termos previstos na Instrução do Banco de Portugal n.º 18/2020.
2 - Para efeitos do disposto no presente artigo, a instituição recolhe e mantém apenas os dados pessoais necessários à prossecução dos objetivos que se pretende atingir, nomeadamente, os dados referidos no artigo 10.º da Instrução do Banco de Portugal n.º 18/2020.
Artigo 42.º
Processo de avaliação de desempenho
O órgão de administração é responsável por assegurar que o processo de avaliação individual de desempenho, incluindo os critérios de natureza financeira e não financeira, quantitativos e qualitativos utilizados e a respetiva ponderação para determinação da componente variável da remuneração, é transparente e comunicado aos colaboradores em momento anterior ao início do período de contagem a que a avaliação diz respeito.
Artigo 43.º
Remuneração dos membros não executivos do órgão de administração e dos membros do órgão de fiscalização
A remuneração dos membros não executivos do órgão de administração e dos membros do órgão de fiscalização é composta apenas por uma componente fixa, não podendo incluir nenhuma componente de natureza variável ou cujo valor dependa do seu desempenho ou do desempenho da própria instituição.
Artigo 44.º
Avaliação da política de remuneração
1 - Os resultados da avaliação centralizada e independente, de periodicidade anual, prevista no n.º 6 do artigo 115.º-C do Regime Geral das Instituições de Crédito e Sociedades Financeiras, constam de um relatório próprio que:
a) Inclui as medidas necessárias para corrigir eventuais deficiências detetadas;
b) É apresentado à assembleia geral da instituição, ao órgão de fiscalização e ao órgão de administração, o qual deve assegurar a implementação dessas medidas pelos órgãos ou outras unidades de estrutura responsáveis.
2 - O relatório previsto no presente artigo é disponibilizado, de imediato, à autoridade de supervisão competente sempre que solicitado.
Secção II
Comité de Remunerações
Artigo 45.º
Composição do Comité de Remunerações
1 - O Comité de Remunerações previsto no artigo 115.º-H do Regime Geral das Instituições de Crédito e Sociedades Financeiras é composto por uma maioria de membros independentes, na aceção do n.º 5 do artigo 414.º do Código das Sociedades Comerciais.
2 - Os membros do Comité de Remunerações possuem, a nível coletivo, qualificação e experiência profissional específica para o exercício das respetivas funções, nomeadamente, qualificação e experiência profissional adequadas em matéria de políticas e práticas remuneratórias, bem como na área de gestão de risco e demais funções de controlo interno, de modo a garantir que o comité reúne as qualificações adequadas para assegurar um efetivo alinhamento entre as estruturas de remuneração da instituição, o respetivo perfil de risco e base de fundos próprios.
Secção III
Divulgação pública de informação sobre a política de remuneração
Artigo 46.º
Divulgação pública da política de remuneração
1 - A política de remuneração dos membros dos órgãos de administração e de fiscalização da instituição, aprovada pela assembleia geral, nos termos do n.º 4 do artigo 115.º-C do Regime Geral das Instituições de Crédito e Sociedades Financeiras, é divulgada no sítio da internet da instituição.
2 - A política de remuneração respeitante aos colaboradores referidos nas alíneas b) a e) do n.º 2 do artigo 115.º-C do Regime Geral das Instituições de Crédito e Sociedades Financeiras, aprovada pelo órgão de administração da instituição nos termos do n.º 5 do mesmo artigo, é divulgada no sítio da internet da instituição.
Artigo 47.º
Divulgação pública de informação quantitativa
As instituições divulgam nos documentos anuais de prestação de contas informação quantitativa referente à remuneração paga pela instituição, discriminando entre as diversas categorias de colaboradores previstas no n.º 2 do artigo 115.º-C do Regime Geral das Instituições de Crédito e Sociedades Financeiras, que deve incluir, pelo menos, a informação prevista nas alíneas g) a j) do artigo 450.º do Regulamento (UE) n.º 575/2013, do Parlamento Europeu e do Conselho, de 26 de junho.
Capítulo X
Grupos financeiros
Artigo 48.º
Conceito de grupo
1 - Para efeitos do disposto no presente Aviso, o conceito de "grupo" é o disposto na alínea jj) do artigo 2.º-A do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
2 - No caso do Sistema Integrado do Crédito Agrícola Mútuo, para efeitos do presente Capítulo, entende-se por empresa-mãe a Caixa Central de Crédito Agrícola Mútuo e por filiais as Caixas de Crédito Agrícola Mútuo integradas.
Artigo 49.º
Princípio da transparência
1 - Os órgãos de administração e de fiscalização da empresa-mãe conhecem cabalmente a estrutura do grupo e são responsáveis por assegurar que este se encontra organizado nos termos previstos nos números seguintes.
2 - Os grupos financeiros são organizados de forma transparente, evitando estruturas complexas e opacas, sendo possível aos órgãos de administração e de fiscalização da empresa-mãe e das demais entidades do grupo e a um terceiro conhecer e compreender cabalmente a estrutura do grupo, incluindo a relevância, o objeto e os riscos relativos a cada uma das entidades que o integram, bem como eventuais relações de participação com entidades não financeiras ou com entidades que estejam estabelecidas fora de Portugal.
3 - Sempre que pretenda constituir uma filial, o órgão de administração da empresa-mãe procede a uma análise de risco relativa ao estabelecimento dessa filial, que envolve as respetivas funções de controlo interno, que lhe permita aferir todos os riscos que essa filial pode gerar para o grupo.
Artigo 50.º
Princípio da coerência do controlo interno do grupo
1 - Com vista a garantir uma efetiva gestão dos riscos associados à atividade do grupo, o órgão de administração da empresa-mãe assegura que todas as filiais do grupo, incluindo as filiais em países terceiros e os estabelecimentos offshore, implementam sistemas de controlo interno coerentes entre si e em conformidade com os requisitos definidos no presente Aviso.
2 - Entende-se por estabelecimento offshore a entidade, filial ou sucursal, estabelecida em território, incluindo o nacional, caracterizado por atrair um volume significativo de atividade com não residentes, em virtude, designadamente, da existência de regimes menos exigentes na obtenção de autorização para o exercício da atividade bancária e de supervisão, de regime especial de segredo bancário, de vantagens fiscais, de legislação diferenciada para residentes e não residentes, ou de facilitação de criação de veículos de finalidade especial.
3 - As instituições pertencentes a um mesmo grupo financeiro podem estabelecer serviços comuns para o desenvolvimento das responsabilidades atribuídas às funções de gestão de riscos, de conformidade e de auditoria interna, desde que a entidade prestadora do serviço comum não se encontre estabelecida em jurisdição com um regime legal que preveja proibições ou restrições que impeçam ou limitem o cumprimento, pela instituição, das normas legais e regulamentares que regem a respetiva atividade, incluindo ao nível da prestação e circulação de informação.
4 - No caso previsto no número anterior:
a) Os respetivos órgãos de administração asseguram que esses serviços são dotados dos recursos materiais, técnicos e humanos apropriados para o desempenho eficaz das suas responsabilidades e que são salvaguardados os requisitos de independência e acesso à informação relativamente a cada uma das instituições;
b) Os órgãos de administração e de fiscalização da instituição que recorre aos serviços comuns mantêm as suas responsabilidades relativas às funções de controlo interno em causa e permanecem responsáveis pelo cumprimento e exercício de todas as obrigações legais e regulamentares que sobre eles impendem, designadamente por força do presente Aviso;
c) Os órgãos de administração e de fiscalização da instituição que recorre aos serviços comuns asseguram que tais serviços dão cumprimento pleno ao disposto no presente Aviso, competindo-lhes apreciar os relatórios elaborados por esses serviços comuns relativamente às matérias que digam respeito à instituição e reunir regularmente com os responsáveis por esses serviços comuns;
d) O órgão de administração da instituição que recorre aos serviços comuns designa um colaborador, considerado titular de função essencial nos termos e para os efeitos do disposto no artigo 33.º-A do Regime Geral das Instituições de Crédito e Sociedades Financeiras, a quem são, nomeadamente, atribuídas as seguintes responsabilidades:
i) Assegurar que a entidade prestadora do serviço dispõe de toda a informação e elementos necessários para o exercício das funções em regime de serviços comuns;
ii) Promover a incorporação ou adaptação, para os normativos internos da instituição que beneficia dos serviços comuns, da legislação e regulamentação aplicáveis à função de controlo em causa;
iii) Acompanhar a implementação das medidas destinadas à correção de deficiências detetadas;
iv) Comunicar ao responsável dos serviços comuns eventuais deficiências que detete;
v) Acompanhar e monitorizar as tarefas desempenhadas em regime de serviços comuns;
vi) Elaborar relatórios, com periodicidade mínima semestral, que são submetidos à apreciação dos órgãos de administração e de fiscalização, sobre a adequação dos serviços comuns às necessidades da instituição e ao cumprimento do disposto no presente Aviso.
5 - Desde que não envolvam responsabilidades conflituantes, o colaborador referido na alínea d) do número anterior pode desempenhar outras funções na instituição.
6 - Para efeitos do disposto no número anterior, o colaborador poderá acumular, nomeadamente, as responsabilidades referidas na alínea d) do n.º 4 relativamente à função de gestão de riscos e de conformidade, não podendo acumular tais responsabilidades com responsabilidades inerentes à função de auditoria interna.
7 - O desempenho das referidas responsabilidades em regime de serviços comuns não pode criar quaisquer constrangimentos de acesso, pela instituição e, para o exercício das suas funções de supervisão, pela autoridade de supervisão competente, a toda a informação relacionada com as mesmas.
8 - A formalização dos serviços comuns referidos nos números anteriores consta de contrato escrito, aprovado pelos órgãos de administração das instituições envolvidas.
9 - Quando aplicável à função de auditoria interna, os contratos referidos no número anterior são vertidos numa carta de auditoria de serviços partilhados, aprovada pelo órgão de administração das instituições envolvidas, após parecer prévio do órgão de fiscalização.
10 - Caso se revele que os serviços comuns previstos no presente artigo não são eficientes, nomeadamente por não cumprirem os objetivos previstos no presente Aviso, a autoridade de supervisão competente pode, a todo o tempo, no âmbito das suas competências de supervisão, exigir que as instituições estabeleçam funções de controlo interno próprias.
11 - No caso de instituições que integram o Sistema Integrado do Crédito Agrícola Mútuo, o colaborador referido na alínea d) do n.º 4, tem, apenas, as responsabilidades referidas nas subalíneas i) a iv) do mesmo número, sendo a sua designação ou reavaliação antecedida de parecer da Caixa Central do Crédito Agrícola Mútuo.
Artigo 51.º
Deveres do órgão de administração da empresa-mãe
O órgão de administração da empresa-mãe assegura que esta dispõe de um sistema de controlo interno que, designadamente:
a) Estabelece procedimentos adequados ao objetivo do cumprimento, em cada momento, do disposto no presente Aviso;
b) Permite a gestão das filiais e garante o controlo eficaz dos riscos associados à sua atividade, nomeadamente, a implementação de processos destinados à recolha da informação essencial para o efeito;
c) Institui os processos e os controlos necessários à obtenção de toda a informação relevante para o processo de consolidação, incluindo informação contabilística e demais elementos informativos;
d) Define, de forma clara, o conteúdo e formato da informação a reportar pelas entidades incluídas no perímetro de consolidação e assegura que estas entidades se encontram dotadas dos meios necessários à referida prestação de informação;
e) Estabelece procedimentos de informação de modo a identificar, avaliar, acompanhar e controlar eficazmente as operações intragrupo, a sua natureza e características, assim como as concentrações de riscos;
f) Contempla os procedimentos adequados para garantir que a informação de gestão é coerente entre as várias entidades, de tal modo que a empresa-mãe possa identificar, avaliar, acompanhar e controlar os riscos em que o grupo incorre;
g) Controla o cumprimento, a todo o momento, dos rácios e limites prudenciais em base consolidada, respetivo reporte à autoridade de supervisão competente e procedimentos estabelecidos para a consolidação.
Artigo 52.º
Funções de controlo interno da empresa-mãe
1 - O órgão de administração da empresa-mãe assegura que as suas funções de controlo interno são adequadas à dimensão e à natureza das atividades do grupo, supervisionando a eficácia e a adequação dos controlos internos e zelando pela fiabilidade e pela pontualidade da informação reportada pelas filiais, bem como pelo cumprimento das normas internas e dos procedimentos definidos, incluindo no que respeita aos níveis de tolerância ao risco definidos para o grupo.
2 - As funções de controlo interno da empresa-mãe podem apoiar-se, para efeitos do cumprimento das responsabilidades previstas na alínea anterior, nos trabalhos desenvolvidos pelas funções de controlo interno das filiais da empresa-mãe, desde que a qualidade desses trabalhos tenha sido avaliada previamente pelas funções de controlo interno da empresa-mãe e seja por estas considerada adequada.
3 - As funções de controlo interno da empresa-mãe e das filiais interagem entre si, de forma a assegurar que as funções de controlo interno da empresa-mãe dispõem da informação necessária para o cabal desempenho das suas responsabilidades.
4 - Para dar cumprimento ao disposto no número anterior, o órgão de administração da empresa-mãe assegura, nomeadamente, a existência de linhas de reporte diretas entre as funções de controlo interno das filiais e as funções de controlo interno da empresa-mãe.
5 - O órgão de administração da empresa-mãe assegura que os procedimentos referidos no n.º 3 e n.º 4 permitem às funções de gestão de riscos, de conformidade e de auditoria interna da empresa-mãe monitorizar o cumprimento adequado e tempestivo das responsabilidades das funções de gestão de riscos, de conformidade e de auditoria interna das filiais do grupo.
6 - A assunção de riscos significativos numa filial do grupo é objeto de comunicação prévia à função de gestão de riscos da empresa-mãe, e quando esteja em causa a assunção de riscos de conformidade, também à função de conformidade, na qual são identificados e adequadamente avaliados os riscos reais ou potenciais da mesma para a filial em questão e para o grupo.
7 - Os planos de atividades das funções de controlo interno de uma filial são objeto de comunicação prévia às funções de controlo interno respetivas da empresa-mãe, o mesmo sucedendo quanto ao plano plurianual de ações de auditoria da função de auditoria interna de uma filial.
8 - Quando a empresa-mãe corresponda a uma instituição de crédito, para além do disposto no n.º 4 do artigo 17.º, a substituição dos responsáveis pelas funções de controlo interno das filiais é objeto de comunicação prévia ao responsável da função de controlo interno respetiva da empresa-mãe, para o que lhe são disponibilizados os elementos referidos nas alíneas a) a c) do mesmo artigo.
Artigo 53.º
Políticas de remuneração nos grupos financeiros
1 - De acordo com o disposto no n.º 1 do artigo 115.º-C do Regime Geral das Instituições de Crédito e Sociedades Financeiras, a empresa-mãe de um grupo financeiro sujeito a supervisão em base consolidada, assegura que todas as suas filiais, incluindo as filiais no estrangeiro e os estabelecimentos offshore, implementam políticas de remuneração consistentes entre si.
2 - O cumprimento do disposto no presente Aviso deve ser assegurado para o total das remunerações pagas às categorias de colaboradores previstas no n.º 2 do artigo 115.º-C do Regime Geral das Instituições de Crédito e Sociedades Financeiras, pelo conjunto das instituições, financeiras ou não, integradas no perímetro de supervisão em base consolidada.
3 - As funções de gestão de riscos e de conformidade e o Comité de Remunerações ou, caso não se encontre constituído, os membros não executivos do órgão de administração da empresa-mãe efetuam, em articulação entre si, com uma periodicidade mínima anual, uma avaliação do impacto das práticas remuneratórias das filiais no exterior e dos estabelecimentos offshore, em especial sobre a gestão de riscos, com especial ênfase nos riscos de capital e de liquidez da instituição.
4 - O relatório com os resultados da avaliação a que se refere o número anterior deve ser apresentado à assembleia geral, ao órgão de administração e ao órgão de fiscalização da empresa-mãe, o qual deve, designadamente, identificar as medidas destinadas à correção de eventuais deficiências detetadas.
Capítulo XI
Autoavaliação
Artigo 54.º
Dever de autoavaliação e relatórios anuais
1 - Os órgãos de administração e de fiscalização são responsáveis, no âmbito das respetivas competências, por assegurar que a cultura organizacional da instituição e os seus sistemas de governo e controlo interno, incluindo as práticas e políticas remuneratórias e as demais matérias tratadas no presente Aviso, são adequados e eficazes e promovem uma gestão sã e prudente.
2 - Para efeitos do disposto no número anterior, os órgãos de administração e de fiscalização, no âmbito das respetivas competências, asseguram que a instituição avalia a adequação e eficácia da cultura organizacional em vigor na instituição e os seus sistemas de governo e controlo interno e elabora um relatório anual contendo os resultados dessa avaliação, com referência a 30 de novembro de cada ano.
3 - Os órgãos de administração e de fiscalização da empresa-mãe de um grupo financeiro, no âmbito das respetivas competências, asseguram que é elaborado, com referência a 30 de novembro de cada ano, um relatório anual de autoavaliação relativo ao grupo e um relatório individual relativo a cada uma das entidades sujeitas a supervisão em base consolidada ou subconsolidada, incluindo a empresa-mãe e todas as filiais, filiais em países terceiros e estabelecimentos offshore, que, independentemente da sua designação e classificação formal, exerçam em termos efetivos alguma das atividades enunciadas nas alíneas a) a i), p) e q) do n.º 1 do artigo 4.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras.
4 - Os relatórios referidos nos números anteriores são reportados à autoridade de supervisão competente nos termos da Instrução do Banco de Portugal n.º 18/2020.
5 - O reporte de informação sobre a gestão do risco de branqueamento de capitais e de financiamento do terrorismo é objeto de relatório autónomo, nos termos definidos pelo Aviso do Banco de Portugal n.º 2/2018, de 26 de setembro e pela Instrução do Banco de Portugal n.º 5/2019.
Artigo 55.º
Conteúdo mínimo do relatório anual de autoavaliação
O relatório anual de autoavaliação referido no n.º 2 do artigo anterior é, no mínimo, constituído pelos seguintes elementos, sem prejuízo da inclusão de outros que os órgãos de administração e de fiscalização considerem relevantes:
a) Avaliação do órgão de fiscalização da instituição, nos termos do artigo 56.º;
b) Avaliação do órgão de administração, nos termos do artigo 57.º;
c) Relatórios dos responsáveis pelas funções de gestão de riscos, de conformidade e de auditoria interna referidos na alínea s) do n.º 1 do artigo 27.º, na alínea p) do n.º 1 do artigo 28.º e na alínea d) do n.º 1 do artigo 32.º
Artigo 56.º
Avaliação do órgão de fiscalização
1 - A avaliação referida na alínea a) do artigo anterior sobre a adequação e eficácia da cultura organizacional em vigor na instituição e os seus sistemas de governo e controlo interno, que abrange todas as matérias tratadas no presente Aviso, inclui:
a) Período de referência;
b) Opinião clara, detalhada e fundamentada, expressa pela positiva, sobre a adequação e eficácia da cultura organizacional e dos sistemas de governo e de controlo interno da instituição, no âmbito das responsabilidades atribuídas por lei ao órgão de fiscalização, que pondere, à data de referência, designadamente, os impactos atuais ou potenciais das deficiências que se mantenham em aberto;
c) Resumo da atividade desenvolvida pelo órgão de fiscalização no período de referência, relativamente à cultura organizacional e aos sistemas de governo e de controlo interno, incluindo a desenvolvida em articulação com as funções de controlo interno e, quando aplicável, referência expressa aos trabalhos adicionais que tenham sido solicitados ao revisor oficial de contas ou sociedade de revisores oficiais de contas da instituição e outros consultores externos;
d) Apreciação sobre o estado de concretização das medidas definidas no período de referência para corrigir as deficiências detetadas, incluindo as deficiências do sistema de controlo financeiro interno e do sistema de contabilidade reportadas pelo revisor oficial de contas, nos termos da alínea j) do n.º 2 do artigo 11.º do Regulamento (UE) n.º 537/2014 ou no âmbito de outras atividades por este realizadas, ou identificadas por outras entidades externas à instituição, incluindo autoridades de supervisão;
e) Opinião sobre a qualidade do desempenho e adequada independência das funções de controlo interno, incluindo as tarefas operacionais que se encontrem subcontratadas, nos termos do artigo 36.º;
f) Declaração sobre a fiabilidade dos processos de preparação de reportes prudenciais e financeiros, incluindo os efetuados ao abrigo do Regulamento de Execução (UE) n.º 680/2014, da Comissão, de 16 de abril de 2014, no período de referência;
g) Declaração sobre a fiabilidade dos processos de preparação de informação divulgada ao público pela instituição ao abrigo da legislação e regulamentação aplicáveis, incluindo a informação financeira e prudencial;
h) Declaração sobre o adequado cumprimento, pela instituição, no período de referência, de todos os deveres de divulgação ao público, que resultem de legislação e regulamentação aplicáveis e que respeitem às matérias previstas no presente Aviso.
2 - A avaliação pelo órgão de fiscalização prevista no presente artigo tem por base o plano de atividades previsto no n.º 9 do artigo 31.º e pondera toda a informação que seja do seu conhecimento decorrente das atividades de monitorização pelas estruturas próprias da instituição ou por entidades externas.
3 - Para efeitos do disposto no presente artigo, e dentro do legalmente permitido pelo Estatuto dos Revisores Oficiais de Contas e demais legislação aplicável, o órgão de fiscalização pode recorrer aos serviços do seu revisor oficial de contas ou sociedade de revisores oficiais de contas, bem como a outros auditores ou consultores externos em situações devidamente justificadas.
4 - Os relatórios dos serviços contratados ao abrigo do disposto no número anterior, bem como a respetiva documentação de suporte, são disponibilizados à autoridade de supervisão competente sempre que solicitado.
5 - Quando, nos termos do n.º 3, sejam prestados serviços por revisor oficial de contas ou sociedade de revisores oficiais de contas, os trabalhos realizados seguem o disposto nas Normas Internacionais de Controlo de Qualidade, Auditoria, Revisão, Outros Trabalhos de Garantia de Fiabilidade e Serviços Relacionados.
6 - Compete ao órgão de fiscalização definir a extensão e âmbito dos trabalhos contratados nos termos do n.º 3, sendo que, independentemente do nível de segurança contratado, o órgão de fiscalização utiliza estes trabalhos para concluir pela positiva sobre as matérias analisadas.
7 - Quando a entidade adote uma estrutura de fiscalização com fiscal único, a avaliação do órgão de fiscalização:
a) Inclui o disposto nas alíneas a) a h) do n.º 1;
b) É preparada de acordo com as Normas Internacionais de Controlo de Qualidade, Auditoria, Revisão, Outros Trabalhos de Garantia de Fiabilidade e Serviços Relacionados, sendo admissível, atendendo ao princípio da proporcionalidade, que seja preparada de acordo com um nível de revisão limitada (limited assurance), salvo se, por iniciativa da instituição ou por solicitação da autoridade de supervisão competente, seja exigido um nível de segurança razoável (reasonable assurance).
Artigo 57.º
Avaliação do órgão de administração
A avaliação referida na alínea b) do artigo 55.º inclui:
a) Período de referência;
b) Opinião global, devidamente fundamentada, sobre a adequação e eficácia da cultura organizacional da instituição e dos seus sistemas de governo e controlo interno e sobre práticas e políticas remuneratórias e demais matérias tratadas no presente Aviso;
c) Resumo das ações empreendidas e das medidas implementadas para corrigir as deficiências detetadas no período de referência e, caso se mantenham em aberto, para sanar deficiências detetadas em períodos anteriores;
d) Quando aplicável, resultados das avaliações efetuadas nos termos do disposto no n.º 7 do artigo 29.º;
e) Quando aplicável, confirmação expressa de que é entendimento do órgão de administração que a subcontratação de tarefas operacionais das funções de controlo interno dá cumprimento ao disposto no artigo 36.º e fundamentação do referido entendimento.
Artigo 58.º
Conteúdo mínimo dos relatórios anuais de autoavaliação de grupos
1 - O relatório anual de autoavaliação do grupo referido no n.º 3 do artigo 54.º é constituído pelos seguintes elementos, sem prejuízo da inclusão de outros que os órgãos de administração e de fiscalização considerem relevantes:
a) Avaliação global do órgão de administração da empresa-mãe, elaborada nos termos previstos no artigo 57.º, sobre a adequação e a eficácia do sistema de controlo interno do grupo financeiro, que pondera as deficiências identificadas face ao estabelecido no artigo 51.º;
b) Avaliação detalhada do órgão de fiscalização da empresa-mãe, elaborada nos termos previstos no artigo 56.º, no âmbito das responsabilidades que lhe são atribuídas por lei, sobre a adequação e a eficácia do sistema de controlo interno do grupo para assegurar o cumprimento dos requisitos definidos no artigo 51.º;
c) Avaliação do órgão de fiscalização da empresa-mãe quanto à coerência entre os sistemas de controlo interno das filiais, incluindo as filiais no estrangeiro e os estabelecimentos offshore, e o sistema de controlo interno da empresa-mãe, podendo tal avaliação ser fundamentada nas avaliações elaboradas para o efeito pelos órgãos de fiscalização de cada uma das filiais;
d) Opinião do órgão de fiscalização da empresa-mãe, ou do Comité de Remunerações se constituído, sobre a coerência global da política de remuneração das suas filiais no estrangeiro e estabelecimentos offshore relativamente ao disposto no Regime Geral das Instituições de Crédito e Sociedades Financeiras e no presente Aviso, indicando as eventuais deficiências existentes, incluindo as detetadas pelas funções de controlo interno da empresa-mãe;
e) Relatórios individuais, elaborados nos termos do artigo 55.º, das entidades referidas no n.º 3 do artigo 54.º, podendo o órgão de administração, depois de obtido o parecer do órgão de fiscalização, excluir dessa obrigação as filiais no estrangeiro sem atividade relevante e que não influenciem o perfil de risco do grupo, bem com as filiais no estrangeiro cuja atividade se limite à de escritório de representação em termos idênticos aos estabelecidos no artigo 63.º do Regime Geral das Instituições de Crédito e Sociedades Financeiras, devendo todas as exclusões ser adequadamente justificadas;
f) Avaliação individual do órgão de fiscalização prevista no artigo 56.º, que pode ser elaborada pelo órgão de fiscalização da empresa-mãe, no caso das filiais no estrangeiro e pelo órgão de fiscalização da empresa-mãe das filiais domésticas, neste último caso apenas se se verificar, e for devidamente comprovado, que o referido órgão também exerce ação fiscalizadora sobre essas filiais em matéria de controlo interno.
2 - Para efeito do disposto da alínea e) do n.º 1, o órgão de administração da empresa-mãe de um grupo emite as orientações necessárias para que as entidades referidas no n.º 3 do artigo 54.º elaborem, anualmente, os seus relatórios individuais de forma consistente entre si e nos termos previstos no presente Aviso.
3 - Relativamente a instituições que integrem o Sistema Integrado do Crédito Agrícola Mútuo, para além do disposto no n.º 1, a Caixa Central do Crédito Agrícola Mútuo emite, com base nos trabalhos de fiscalização desenvolvidos e evidências recolhidas no âmbito dos mesmos, uma opinião sobre as autoavaliações efetuadas, nos termos do artigo 56.º, pelas instituições integradas.
Artigo 59.º
Aprovação dos relatórios anuais
1 - Os relatórios anuais de autoavaliação a que se referem os artigos anteriores são discutidos e aprovados pelo órgão de administração.
2 - A aprovação referida no número anterior não inclui a avaliação do órgão de fiscalização, mas o órgão de administração toma-a em consideração.
Artigo 60.º
Divulgação dos resultados da autoavaliação
1 - O órgão de fiscalização elabora um resumo do relatório 3de autoavaliação previsto no artigo 55.º que é divulgado em anexo aos documentos anuais de prestação de contas da instituição.
2 - No caso de grupos financeiros, o disposto nos números anteriores aplica-se também ao relatório de autoavaliação do grupo.
Artigo 61.º
SICAM
A Caixa Central de Crédito Agrícola Mútuo elabora um modelo de relatório de autoavaliação da adequação e eficácia da cultura organizacional e dos sistemas de governo e de controlo interno a elaborar pelas caixas de crédito agrícola mútuo integradas no Sistema Integrado do Crédito Agrícola Mútuo e pela própria Caixa Central.
Capítulo XII
Documentação, sistematização e divulgação de informação ao público
Artigo 62.º
Documentação
O órgão de administração da instituição é responsável por:
a) Assegurar que a instituição dá cumprimento ao disposto no presente Aviso de forma devidamente documentada;
b) Assegurar que a documentação produzida é compreensível, clara e coerente entre si;
c) Manter a documentação em causa devidamente atualizada assegurando que as alterações introduzidas ao longo do tempo são devidamente identificadas, datadas e justificadas;
d) Assegurar que toda a documentação contém a identificação da unidade de estrutura responsável pela sua elaboração e revisão;
e) Manter um adequado arquivo documental, assegurando que a documentação que o compõe permite, nomeadamente, conhecer inequivocamente a fundamentação das decisões tomadas e os respetivos intervenientes.
Artigo 63.º
Sistematização de informação
1 - O órgão de administração assegura que a instituição sistematiza, de forma integrada e atualizada, a informação respeitante às matérias previstas no Anexo ao presente Aviso, em formato acessível a todos os colaboradores.
2 - O órgão de administração designa uma unidade de estrutura responsável por assegurar a sistematização da informação referida no número anterior e a sua permanente atualização.
3 - Quando solicitado, a informação sistematizada nos termos do presente artigo é disponibilizada, de imediato, à autoridade de supervisão competente.
Artigo 64.º
Dever de divulgação de informação ao público
1 - Qualquer informação que, ao abrigo do presente Aviso, deva ser divulgada ao público, é integralmente publicada no sítio da internet da instituição no prazo máximo de 30 dias após aprovação pelo órgão social competente.
2 - A publicação de informação no sítio da internet da instituição observa as seguintes condições cumulativas:
a) Sem prejuízo do prazo de 30 dias referido no n.º 1, a informação disponível para consulta é a que se encontra em vigor na instituição;
b) São adotadas as medidas necessárias para que os principais motores de busca disponíveis na internet permitam aceder, de forma fácil e imediata, às páginas do sítio da internet da instituição onde a informação é publicada, com base em pesquisa realizada que inclua apenas o nome dos documentos respetivos e a designação da instituição;
c) A informação disponibilizada no sítio da internet da instituição deve ser de fácil e intuitivo acesso.
Capítulo XIII
Dados pessoais
Artigo 65.º
Tratamento de dados pessoais
As instituições tratam os dados pessoais que decorram da aplicação do disposto no presente Aviso, nos termos previstos na legislação aplicável.
Capítulo XIV
Disposições transitórias e finais
Artigo 66.º
Disposições transitórias
1 - As instituições adaptam-se ao disposto no presente Aviso no prazo de 6 meses após a sua entrada em vigor.
2 - As instituições que não disponham de funções de controlo interno estabelecidas nos termos do disposto no artigo 15.º, nem nos termos previstos no n.º 3 e no n.º 4 do artigo 50.º, dispõem de um período de 18 meses após a entrada em vigor do presente Aviso para estabelecerem funções de controlo interno que cumpram com os requisitos fixados neste diploma.
3 - O disposto no artigo 18.º aplica-se apenas aos responsáveis pelas funções de controlo interno que iniciem funções após a entrada em vigor do presente Aviso.
Artigo 67.º
Disposição revogatória
1 - São revogados os Avisos do Banco de Portugal n.º 5/2008 e n.º 10/2011 e a Instrução do Banco de Portugal n.º 20/2008, sem prejuízo do disposto no número seguinte.
2 - O prazo de entrega do relatório de controlo interno referido no n.º 1 do artigo 25.º do Aviso do Banco de Portugal n.º 5/2008 é, no ano de 2020, até 30 de setembro de 2020.
Artigo 68.º
Entrada em vigor
O presente Aviso entra em vigor no dia seguinte à sua publicação.
29 de junho de 2020. - O Governador, Carlos da Silva Costa.
ANEXO
Informação a que se refere o artigo 63.º do Aviso
1 - Nos termos do disposto no artigo 63.º do presente Aviso, as instituições consideram as seguintes matérias para efeitos de sistematização de informação:
a) Estrutura acionista da instituição;
b) Estrutura organizativa do grupo, se aplicável;
c) Composição e funcionamento dos órgãos de administração e de fiscalização da instituição;
d) Estrutura de governo, estrutura organizacional e principais atividades da instituição, tendo em atenção o grupo, quando a instituição é a empresa-mãe;
e) Titulares de funções essenciais da instituição;
f) Sistema de controlo interno da instituição, tendo em atenção o grupo, quando a instituição é a empresa-mãe;
g) Código de conduta da instituição, tendo em atenção o grupo, quando a instituição é a empresa-mãe;
h) Práticas e políticas remuneratórias, tendo em atenção o grupo, quando a instituição é a empresa-mãe;
i) Atividades subcontratadas, nível de criticidade, identificação do respetivo prestador de serviços e local onde o serviço se encontra a ser prestado.
2 - Para efeitos da alínea c) do n.º 1, são considerados os seguintes elementos:
a) Política de seleção e avaliação dos membros dos órgãos de administração e de fiscalização da instituição e dos titulares de funções essenciais, elaborada nos termos do n.º 2 do artigo 30.º-A do Regime Geral das Instituições de Crédito e Sociedades Financeiras;
b) Número de membros dos órgãos de administração e de fiscalização;
c) Duração dos mandatos dos membros dos órgãos de administração e de fiscalização;
d) Género, data de nascimento, nacionalidade, habilitações académicas e percurso profissional dos membros dos órgãos de administração e de fiscalização;
e) Identificação dos membros executivos e dos membros não executivos do órgão de administração;
f) Distribuição de pelouros pelos membros executivos do órgão de administração, se aplicável;
g) Membros do órgão de fiscalização considerados independentes, nos termos do n.º 5 do artigo 414.º do Código das Sociedades Comerciais;
h) Membros não executivos do órgão de administração considerados independentes;
i) Composição e regras de funcionamento dos comités e comissões especializados dos órgãos de administração e de fiscalização que se encontrem constituídos;
j) Composição e regras de funcionamento da comissão executiva, caso esteja constituída.
3 - Para efeitos da alínea d) do n.º 1, são considerados os seguintes elementos:
a) Organograma indicando todas as unidades de estrutura da instituição e, para cada uma delas, breve descrição das respetivas competências, informação sobre o número de pessoas que a compõem e identificação do respetivo responsável;
b) Política de seleção e designação do revisor oficial de contas ou sociedade de revisores oficiais de contas e contratação de serviços distintos de auditoria não proibidos;
c) Áreas de negócio e funções de grupo, especificando as unidades de estrutura associadas, com alocação de competências e responsabilidades;
d) Quando aplicável, atividades e funções que sejam exercidas em regime de serviços comuns, indicando a entidade que as exerce, as entidades que beneficiam de tais atividades e funções, com referência expressa às atividades desenvolvidas através de sociedades gestoras de participações sociais e de sociedades de serviços auxiliares, bem como às atividades subcontratadas;
e) Produtos e serviços fornecidos pela instituição;
f) Áreas geográficas em que a instituição tenha atividade;
g) Agências e balcões;
h) Filiais;
i) Sucursais estabelecidas em países da União Europeia e em países terceiros;
j) Atividade exercida em regime de livre prestação de serviços e escritórios de representação;
k) «Joint-ventures»;
l) Descrição de atividade em jurisdições offshore.
4 - Para efeitos da alínea e) do n.º 1, são considerados os seguintes elementos:
a) Identificação do responsável pela função de gestão de risco;
b) Identificação do responsável pela função de conformidade;
c) Identificação do responsável pela função de auditoria interna;
d) Identificação dos demais titulares de funções essenciais.
5 - Para efeitos da alínea f) do n.º 1, são considerados os seguintes elementos:
a) Descrição de cada função de controlo interno, incluindo a respetiva organização, recursos, estatuto e autoridade;
b) Descrição do sistema de gestão de risco, incluindo a estratégia de risco.
6 - Para efeitos da alínea g) do n.º 1, são considerados os seguintes elementos:
a) Objetivos estratégicos definidos e perspetivas de evolução futura;
b) Valores corporativos;
c) Códigos, políticas e regulamentos internos em matéria de ética;
d) Política de prevenção, comunicação e sanação de conflitos de interesses;
e) Política sobre transações com partes relacionadas;
f) Política de participação de irregularidades e demais regras internas sobre a matéria.
7 - Para efeitos da alínea h) do n.º 1, são consideradas as políticas de remuneração da instituição.
8 - Para efeitos da alínea i) do n.º 1, são consideradas todas as atividades e funções efetuadas em regime de subcontratação da atividade, incluindo no que respeita às tarefas operacionais das funções de controlo interno.
313367214
