Avisos do Banco de Portugal

Aviso do Banco de Portugal n 5/2008

Em sede do compromisso para uma "Better Regulation", assumido pelo Conselho Nacional de Supervisores Financeiros, foi proposta, nomeadamente, a eliminao da duplicao das exigncias quanto aos relatrios de controlo interno impostos pelo Banco de Portugal e pela Comisso do Mercado de Valores Mobilirios (CMVM), atravs da convergncia da sua estrutura, contedo e prazo de reporte. Tendo presente este objectivo e face reconhecida importncia que a existncia de um sistema de controlo interno adequado e eficaz assume, designadamente, para garantir um efectivo cumprimento das obrigaes legais e dos deveres a que as instituies se encontram sujeitas e uma apropriada gesto dos riscos inerentes s actividades desenvolvidas, assegurando a sua estabilidade e sobrevivncia e, assim, a estabilidade do prprio sistema financeiro, o Banco de Portugal decidiu actualizar os requisitos aplicveis em matria de controlo interno s instituies sujeitas sua superviso, em conformidade com o previsto no prembulo do Aviso n 3/2006, de 9 de Maio. Neste contexto, promoveu-se uma sistematizao dos princpios bsicos que devem nortear a implementao de um sistema de controlo interno, seguindo os conceitos, reconhecidos e aceites a nvel internacional, definidos no "Internal Control - Integrated Framework" publicado pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), as recomendaes emitidas pelo Comit de Superviso Bancria de Basileia atravs do "Framework for Internal Control Systems in Banking Organizations" e as orientaes em matria de "Internal Governance" divulgadas pelo Comit das Autoridades Europeias de Superviso Bancria (CEBS). Comparativamente com o Aviso n 3/2006, agora adoptada uma abordagem mais prescritiva, que concretiza as obrigaes definidas no artigo 14. do Regime Geral das Instituies de Crdito e Sociedades Financeiras, atravs da enumerao dos requisitos mnimos que o sistema de controlo interno de cada instituio deve respeitar e das responsabilidades do rgo de administrao neste domnio. Este abordagem, ao convergir com os requisitos e princpios de organizao e controlo interno estatudos no Cdigo dos Valores Mobilirios (artigo 305. e seguintes), possibilitou a integral harmonizao dos relatrios de controlo interno exigidos pelo Banco de Portugal e pela CMVM, permitindo s instituies a elaborao de um relatrio nico, sem prejuzo de existirem contedos do mesmo que possam respeitar s competncias especficas de uma das autoridades de superviso. Para alm desta harmonizao, concretizou-se ainda, em resultado da experincia adquirida durante a vigncia do anterior quadro normativo e em face das necessidades de informao associadas avaliao do perfil de risco das instituies, uma simplificao dos relatrios de controlo interno, passando o seu contedo a estar focalizado nas deficincias, entendidas como o conjunto das insuficincias existentes, potenciais ou reais, ou das oportunidades de introduo de melhorias que permitam fortalecer o sistema de controlo interno, em substituio da descrio dos procedimentos de controlo interno solicitada pelo Aviso n 3/2006. Embora as instituies j se encontrem actualmente sujeitas generalidade dos requisitos estabelecidos, uma vez que estes correspondem a recomendaes do Comit de Superviso Bancria de Basileia que integravam o Aviso n 3/2006 e sobre as quais recaa uma obrigao de "comply or explain", ou derivam das obrigaes decorrentes do novo Acordo de Capital, justifica-se a existncia de um perodo mnimo de adaptao que permita assegurar o efectivo cumprimento dos requisitos estabelecidos, dado que ser necessrio no s reformatar os relatrios de controlo interno, mas tambm avaliar a necessidade de introduzir ajustamentos nos sistemas de controlo interno. Neste sentido, foi alargado o prazo para o envio do primeiro relatrio de controlo interno at 31 de Dezembro de 2008. O presente Aviso foi objecto de consulta pblica, organizada pelo Conselho Nacional de Supervisores Financeiros, tendo sido ouvidas a Associao Portuguesa de Bancos, a Associao Portuguesa das Empresas de Investimento e a Associao Portuguesa de Fundos de Investimento, Penses e Patrimnios. Considerando o disposto nas alneas f) a h) do n 1 do artigo 14., nos artigos 73. a 75., no n 1 do artigo 93., no n 1 do artigo 120., e nos artigos 130. a 134. do Regime Geral das Instituies de Crdito e Sociedades Financeiras; O Banco de Portugal, no uso da competncia que lhe conferida pelo artigo 17. da sua Lei Orgnica e pela alnea c) do artigo 133. do Regime Geral das Instituies de Crdito e Sociedades Financeiras, estabelece o seguinte: CAPTULO I Disposies gerais Artigo 1.

mbito e destinatrios 1 - As instituies de crdito, as sociedades financeiras e as sucursais de instituies de crdito e de sociedades financeiras com sede em pases terceiros, adiante designadas por instituies, devem dispor de um sistema de controlo interno que obedea aos princpios e requisitos mnimos definidos neste Aviso. 2 - Sem prejuzo do disposto no nmero anterior, o sistema de controlo interno das caixas de crdito agrcola mtuo (CCAM) integrantes do Sistema Integrado do Crdito Agrcola Mtuo (SICAM) deve ser concebido e organizado em articulao com a Caixa Central de Crdito Agrcola Mtuo. 3 - Ficam igualmente abrangidas pelo disposto no presente Aviso as sociedades gestoras de participaes sociais sujeitas superviso do Banco de Portugal nos termos do disposto no artigo 117. do Regime Geral das Instituies de Crdito e Sociedades Financeiras, quando sejam consideradas empresas-me nos termos da alnea a) do n 3 do artigo 24. Artigo 2. Definio e objectivos do controlo interno Para efeitos do disposto no presente Aviso, o sistema de controlo interno define-se como o conjunto das estratgias, sistemas, processos, polticas e procedimentos definidos pelo rgo de administrao, bem como das aces empreendidas por este rgo e pelos restantes colaboradores da instituio, com vista a garantir: a) Um desempenho eficiente e rentvel da actividade, no mdio e longo prazos (objectivos de desempenho), que assegure a utilizao eficaz dos activos e recursos, a continuidade do negcio e a prpria sobrevivncia da instituio, atravs, nomeadamente, de uma adequada gesto e controlo dos riscos da actividade, da prudente e adequada avaliao dos activos e responsabilidades, bem como da implementao de mecanismos de proteco contra utilizaes no autorizadas, intencionais ou negligentes; b) A existncia de informao financeira e de gesto, completa, pertinente, fivel e tempestiva (objectivos de informao), que suporte as tomadas de deciso e processos de controlo, tanto a nvel interno como externo; c) O respeito pelas disposies legais e regulamentares aplicveis (objectivos de "compliance"), incluindo as relativas preveno do branqueamento de capitais e do financiamento do terrorismo, bem como das normas e usos profissionais e deontolgicos, das regras internas e estatutrias, das regras de conduta e de relacionamento com clientes, das orientaes dos rgos sociais e das recomendaes do Comit de Superviso Bancria de Basileia e do Comit das Autoridades Europeias de Superviso Bancria (CEBS), de modo a proteger a reputao da instituio e a evitar que esta seja alvo de sanes. Artigo 3. Princpios gerais 1 - Para atingir, de forma eficaz, os objectivos definidos no artigo anterior, o sistema de controlo interno deve ter por base: a) Um adequado ambiente de controlo, que reflicta a importncia do controlo interno e estabelea a disciplina e estrutura dos restantes elementos do sistema de controlo interno; b) Um slido sistema de gesto de riscos, destinado a identificar, avaliar, acompanhar e controlar todos os riscos que possam influenciar a estratgia e os objectivos definidos pela instituio, que assegure que o seu cumprimento e que so tomadas as aces necessrias para responder adequadamente a desvios no desejados; c) Um eficiente sistema de informao e comunicao, institudo para garantir a captao, tratamento e troca de dados relevantes, abrangentes e consistentes, num prazo e de uma forma que permitam o desempenho eficaz e tempestivo da gesto e controlo da actividade e dos riscos da instituio; d) Um efectivo processo de monitorizao, executado com vista a assegurar a adequao e a eficcia do prprio sistema de controlo interno ao longo do tempo, que garanta, nomeadamente, a identificao tempestiva de eventuais deficincias, entendidas estas, para efeitos do disposto neste Aviso, como o conjunto das insuficincias existentes, potenciais ou reais, ou das oportunidades de introduo de melhorias que permitam fortalecer o sistema de controlo interno. 2 - O sistema de controlo interno deve ser aplicado de forma consistente em todos os estabelecimentos da instituio, incluindo as sucursais no exterior, neste caso sem prejuzo dos requisitos adicionais exigidos pelos territrios de acolhimento. 3 - O sistema de controlo interno deve ser adequado dimenso, natureza e complexidade da actividade, natureza e magnitude dos riscos assumidos ou a assumir, bem como ao grau de centralizao e delegao de autoridade estabelecido na instituio. 4 - A instituio deve planear, implementar e manter, de forma adequada, o seu sistema de controlo interno e formalizar em documento(s) especfico(s) as respectivas estratgias, sistemas,

processos, polticas e procedimentos, devendo este(s) documento(s) identificar a data das alteraes introduzidas e ser mantido um arquivo das verses anteriores. Artigo 4. Responsabilidades gerais do rgo de administrao 1 - O rgo de administrao responsvel pela implementao e manuteno de um sistema de controlo interno adequado e eficaz, que, respeitando os princpios definidos no artigo 3., garanta o cumprimento dos objectivos estabelecidos no artigo 2. 2 - Para efeitos do nmero anterior, o rgo de administrao deve: a) Detalhar os objectivos e princpios subjacentes ao sistema de controlo interno, incorporando-os na estratgia e polticas da instituio, e assegurar o seu cumprimento pelos colaboradores da instituio; b) Garantir a existncia de recursos materiais e humanos suficientes e adequados para a execuo das funes e tarefas inerentes ao sistema de controlo interno e promover as necessrias aces de formao em matria de controlo interno. 3 - O exerccio das competncias descritas no nmero anterior deve ser adequadamente documentado. CAPTULO II Ambiente de controlo Artigo 5. Definio e objectivos do ambiente de controlo 1 - O ambiente de controlo reflecte a atitude e os actos da instituio perante o controlo interno, resultando das convices, preferncias e juzos de valor manifestados pelo rgo de administrao e pelos restantes colaboradores da instituio em relao ao sistema de controlo interno, bem como da nfase colocada no controlo interno nas medidas tomadas, nas polticas e procedimentos aprovados e na definio e implementao da estrutura organizacional. 2 - O ambiente de controlo influenciado, designadamente, pelo padro de valores ticos seguido pela instituio, pela existncia de meios humanos e materiais suficientes e adequados, pelo grau de transparncia da estrutura organizacional e da sua adequao face complexidade e dimenso da actividade da instituio, pela clareza da cadeia hierrquica e das responsabilidades e competncias atribudas a cada funo, pela qualidade do processo de planeamento estratgico e pelo grau de envolvimento do rgo de administrao na actividade desenvolvida. Artigo 6. Estrutura organizacional 1 - As instituies devem ter uma estrutura organizacional bem definida, transparente e perceptvel, que sirva de suporte ao desenvolvimento da actividade e implementao de um sistema de controlo interno adequado e eficaz, no sentido de assegurar que a gesto e o controlo das operaes so efectuados de uma forma prudente. 2 - A estrutura organizacional deve assentar numa definio coerente, clara e objectiva das competncias e responsabilidades de cada unidade de estrutura e ou funo, das linhas de reporte e de autoridade, bem como do grau e mbito de cooperao entre as diversas unidades de estrutura ou funes e contemplar uma adequada segregao de funes potencialmente conflituantes. 3 - A estrutura organizacional deve ser adequada dimenso, natureza e complexidade da actividade desenvolvida pela instituio e ser do conhecimento de todos os colaboradores. 4 - Os recursos humanos devem ser em nmero suficiente face estrutura organizacional implementada e possuir os nveis de competncia, conhecimento e experincia necessrios para a execuo das responsabilidades que lhes sejam atribudas; 5 - No caso de instituies com reduzida amplitude de actividade e de riscos associados e em que, devido limitao de recursos disponveis, seja inexequvel a total segregao de funes potencialmente conflituantes, devem ser implementados procedimentos alternativos de controlo de modo a evitar ou a reduzir ao mnimo o risco da ocorrncia de conflitos de interesses. 6 - A estrutura organizacional, incluindo as competncias e responsabilidades de cada unidade de estrutura e ou funo, as linhas de reporte e de autoridade e o grau e mbito de cooperao entre as diversas unidades de estrutura ou funes, deve ser documentada, analisada e revista periodicamente, com vista a garantir a sua permanente adequao. Artigo 7. Cultura organizacional 1 - A cultura organizacional da instituio deve garantir que todos os colaboradores reconhecem a importncia do controlo interno, de modo a assegurar uma gesto s e prudente da actividade da

instituio, bem como o respeito pelas regras de conduta enunciadas nos artigos 73. a 75. do Regime Geral das Instituies de Crdito e Sociedades Financeiras. 2 - A cultura organizacional deve alicerar-se em elevados padres de tica, integridade e profissionalismo, os quais devem estar formalizados em cdigos de conduta aplicveis a todos os colaboradores da instituio. 3 - Todos os colaboradores da instituio devem contribuir para o controlo interno, devendo, para o efeito, compreender o seu papel no sistema implementado. Artigo 8. Planeamento estratgico 1 - A instituio deve possuir uma estratgia, sustentvel a longo prazo, para a sua actividade, para o seu perfil de risco e para o controlo interno, a qual deve, nomeadamente: a) Definir objectivos precisos, claros e razoveis para a actividade global e para cada rea de negcio e abranger os principais produtos, actividades, sistemas e processos; b) Determinar a poltica de risco da instituio e assegurar um acompanhamento dos nveis de rentabilidade tendo em conta os riscos envolvidos; c) Estabelecer orientaes que sirvam de base ao desenvolvimento do sistema de controlo interno da instituio. 2 - A estratgia deve encontrar-se devidamente documentada e ser comunicada, no tempo, pela forma e com o detalhe considerados adequados, a todos os colaboradores da instituio. 3 - A estratgia deve estar devidamente suportada em recursos humanos, materiais e de capital adequados sua prossecuo. 4 - A definio da estratgia deve assentar num processo formal de planeamento estratgico, executado com uma periodicidade adequada e baseado em pressupostos devidamente sustentados e em informao fivel e compreensvel. Artigo 9. Responsabilidades do rgo de administrao relativamente ao ambiente de controlo 1 - O rgo de administrao responsvel por definir, ou propor ao rgo competente, a estratgia da instituio e garantir que a estrutura e a cultura organizacionais permitem desenvolver adequadamente a estratgia definida. 2 - Para efeitos do nmero anterior, compete, nomeadamente, ao rgo de administrao: a) Aprovar, ou fazer aprovar pelo rgo competente, a estratgia da instituio, incluindo as suas revises, e zelar pela sua adequada implementao; b) Definir, aprovar e rever a estrutura organizacional da instituio, bem como assegurar a sua adequada implementao e manuteno; c) Promover uma cultura de controlo interno que abranja todos os colaboradores da instituio, sustentada em elevados padres de tica e de integridade e na definio e aprovao de cdigos de conduta apropriados; d) Assegurar que todos os colaboradores da instituio compreendem o seu papel no sistema implementado de forma a poderem contribuir de forma efectiva para o controlo interno; e) Garantir que os titulares de cargos de gesto de topo so em nmero suficiente e que possuem, individual e colectivamente, os nveis de competncia, conhecimento, integridade, prudncia e experincia requeridos para o desempenho das suas funes e assegurar uma aplicao coerente e adequada dos requisitos anteriores aos restantes colaboradores da instituio; f) Definir, aprovar e rever as polticas de recursos humanos, nomeadamente as relativas ao recrutamento e seleco, avaliao, promoo, compensao e formao, bem como o quadro de medidas disciplinares aplicveis em caso de incumprimento das obrigaes legais ou dos deveres aplicveis instituio; g) Assegurar que quaisquer reas de potenciais conflitos de interesses so identificadas antecipadamente, minimizadas e sujeitas a uma monitorizao cuidadosa e independente; h) Tomar as providncias necessrias caso sejam identificadas quaisquer deficincias na estrutura organizacional, quaisquer incumprimentos da cultura organizacional ou desvios face estratgia aprovada. 3 - O exerccio das competncias descritas no nmero anterior deve ser adequadamente documentado. CAPTULO III Sistema de gesto de riscos Artigo 10. Definio e objectivos do sistema de gesto de riscos

1 - O sistema de gesto de riscos deve corresponder a um conjunto integrado de processos de carcter permanente que assegurem uma compreenso apropriada da natureza e da magnitude dos riscos subjacentes actividade desenvolvida, possibilitando, assim, uma implementao adequada da estratgia e o cumprimento dos objectivos da instituio. 2 - Para efeitos do disposto no nmero anterior, o sistema de gesto de riscos deve permitir a identificao, avaliao, acompanhamento e controlo de todos os riscos materiais a que a instituio se encontra exposta, tanto por via interna como externa, por forma a assegurar que aqueles se mantm ao nvel previamente definido pelo rgo de administrao e que no afectaro significativamente a situao financeira da instituio. 3 - O sistema de gesto de riscos deve ter uma influncia activa nas tomadas de deciso do rgo de administrao e dos rgos de gesto intermdia. Artigo 11. Princpios aplicveis aos sistemas de gesto de riscos 1 - O sistema de gesto de riscos deve ser slido, eficaz, consistente e abarcar todos os produtos, actividades, processos e sistemas da instituio, sem prejuzo do disposto no nmero seguinte. 2 - O sistema de gesto de riscos deve ser proporcional dimenso, natureza e complexidade da actividade da instituio, tomando, nomeadamente, em considerao a natureza e magnitude dos riscos que a mesma assume e ou pretende assumir. 3 - O sistema de gesto de riscos deve tomar em considerao os riscos de crdito, de mercado, de taxa de juro, de taxa de cmbio, de liquidez, de "compliance", operacional, dos sistemas de informao, de estratgia e de reputao, bem como todos os outros riscos que, em face da situao concreta da instituio, se possam revelar materiais. 4 - Para efeitos do nmero anterior entende-se por: a) Risco de crdito: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, devido incapacidade de uma contraparte cumprir os seus compromissos financeiros perante a instituio, incluindo possveis restries transferncia de pagamentos do exterior; b) Risco de mercado: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, devido a movimentos desfavorveis no preo de mercado dos instrumentos da carteira de negociao, provocados, nomeadamente, por flutuaes em taxas de juro, taxas de cmbio, cotaes de aces ou preos de mercadorias; c) Risco de taxa de juro: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, devido a movimentos adversos nas taxas de juro de elementos da carteira bancria, por via de desfasamentos de maturidades ou de prazos de refixao das taxas de juro, da ausncia de correlao perfeita entre as taxas recebidas e pagas nos diferentes instrumentos, ou da existncia de opes embutidas em instrumentos financeiros do balano ou elementos extrapatrimoniais; d) Risco de taxa de cmbio: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, devido a movimentos adversos nas taxas de cmbio de elementos da carteira bancria, provocados por alteraes nas taxas de cmbio utilizadas na converso para a moeda funcional ou pela alterao da posio competitiva da instituio devido a variaes significativas das taxas de cmbio; e) Risco de liquidez: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, decorrentes da incapacidade da instituio dispor de fundos lquidos para cumprir as suas obrigaes financeiras, medida que as mesmas se vencem; f) Risco de "compliance": a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, decorrentes de violaes ou da no conformidade relativamente a leis, regulamentos, determinaes especficas, contratos, regras de conduta e de relacionamento com clientes, prticas institudas ou princpios ticos, que se materializem em sanes de carcter legal, na limitao das oportunidades de negcio, na reduo do potencial de expanso ou na impossibilidade de exigir o cumprimento de obrigaes contratuais; g) Risco operacional: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, decorrentes de falhas na anlise, processamento ou liquidao das operaes, de fraudes internas e externas, da utilizao de recursos em regime de subcontratao, de processos de deciso internos ineficazes, de recursos humanos insuficientes ou inadequados ou da inoperacionalidade das infra-estruturas; h) Risco dos sistemas de informao: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, em resultado da inadaptabilidade dos sistemas de informao a novas necessidades, da sua incapacidade para impedir acessos no autorizados, para garantir a integridade dos dados ou para assegurar a continuidade do negcio em casos de falha, bem como devido ao prosseguimento de uma estratgia desajustada nesta rea; i) Risco de estratgia: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, decorrentes de decises estratgicas inadequadas, da deficiente implementao das decises ou da incapacidade de resposta a alteraes do meio envolvente ou a alteraes no ambiente de negcios da instituio; j) Risco de reputao: a probabilidade de ocorrncia de impactos negativos nos resultados ou no capital, decorrentes de uma percepo negativa da imagem pblica da instituio, fundamentada ou

no, por parte de clientes, fornecedores, analistas financeiros, colaboradores, investidores, rgos de imprensa ou pela opinio pblica em geral. 5 - As instituies podem adoptar definies prprias de risco, desde que, no seu conjunto, abarquem todos os factores de risco associados s categorias enunciadas no n 3 ou, caso tais factores no se manifestem na actividade desenvolvida, a sua excluso se encontre devidamente justificada. 6 - O sistema de gesto de riscos deve basear-se em processos de identificao, avaliao, acompanhamento e controlo de riscos, em conformidade com o disposto nos artigos 12. a 15., os quais devem estar suportados em polticas e procedimentos apropriados e claramente definidos com vista a assegurar que os objectivos da instituio so atingidos e que so tomadas as aces necessrias para responder adequadamente aos riscos previamente identificados. 7 - O sistema de gesto de riscos deve ser devidamente planeado, revisto e documentado. Artigo 12. Processo de identificao de riscos As instituies devem desenvolver, implementar e manter um processo de identificao dos factores, internos e externos, que, em relao a cada categoria de risco, possam afectar a sua capacidade para implementar a estratgia ou atingir os objectivos definidos, o qual deve, nomeadamente: a) Assentar em mtodos e tcnicas claramente definidos e abranger todos os produtos, actividades, processos e sistemas da instituio, de modo a permitir a identificao efectiva de todos os factores de risco de impacto material; b) Ser executado com uma periodicidade, no mnimo anual, que permita a identificao tempestiva de novos factores de risco e a reviso dos existentes; c) Permitir hierarquizar os riscos e identificar, nomeadamente, as actividades, sistemas, processos e tipologias de operaes associados a esses riscos, com o grau de detalhe adequado natureza de cada risco. Artigo 13. Processo de avaliao de riscos 1 - As instituies devem desenvolver, implementar e manter um processo de avaliao da probabilidade de ocorrncia de perdas e da respectiva magnitude em relao a cada categoria de risco, o qual deve, nomeadamente: a) Estar suportado por anlises, qualitativas e ou quantitativas, baseadas em metodologias com um grau de fiabilidade e de sofisticao adequado natureza e magnitude do risco e complexidade e dimenso da actividade desenvolvida pela instituio; b) Ser executado com uma periodicidade, no mnimo anual, que permita uma actualizao adequada dos resultados do processo de avaliao, tendo em vista a deteco tempestiva de desvios e a tomada de decises pelo rgo de administrao em tempo oportuno; c) Basear-se em hipteses, parmetros e fontes de informao adequados e fiveis. 2 - Relativamente aos riscos que, pela sua natureza, no sejam facilmente mensurveis, as instituies devem desenvolver anlises que permitam formar um juzo fundamentado sobre a respectiva materialidade e o seu potencial impacto negativo nos resultados ou no capital. 3 - As anlises quantitativas previstas na alnea a) do n 1 devem ter em considerao alteraes potenciais futuras nas condies econmicas e incluir a realizao de testes de esforo ("stress-tests") que permitam a determinao, quer individualmente, quer de uma forma agregada, da probabilidade de a instituio cumprir os seus compromissos face ao desenvolvimento adverso, num dado horizonte temporal, dos diferentes factores de risco. 4 - Os testes de esforo referidos no nmero anterior podem englobar diferentes nveis de sofisticao, desde a realizao de anlises de sensibilidade simplificadas realizao de testes de cenrios adversos que envolvam a evoluo conjunta de diferentes factores de risco. Artigo 14. Processo de acompanhamento de riscos As instituies devem desenvolver, implementar e manter um processo sistematizado de acompanhamento da exposio a cada categoria de risco, o qual deve, nomeadamente, incluir a elaborao de relatrios peridicos e tempestivos, com informao clara, fivel e substantiva, relativos exposio da instituio a cada uma das categorias de risco subjacentes actividade desenvolvida. Artigo 15. Processo de controlo de riscos 1 - Para garantir que os objectivos definidos so atingidos e que so tomadas as aces necessrias para responder adequadamente aos riscos previamente identificados, as instituies devem, nomeadamente:

a) Definir uma poltica sistematizada que estabelea os seus objectivos globais e os objectivos especficos para cada rea funcional, no que respeita ao perfil de risco e ao grau de tolerncia face ao risco, a qual deve ser revista periodicamente, no mnimo anualmente; b) Estabelecer polticas e procedimentos para alcanar os objectivos definidos, que sistematizem, de forma clara e objectiva, quais as tarefas que devero ser desempenhadas por cada funo e como devero ser executadas. 2 - As polticas e procedimentos referidas na alnea b) do n 1 devem assegurar, de forma tempestiva, a preveno de situaes no desejadas ou no autorizadas e a deteco destas situaes quando, no obstante os procedimentos de preveno, as mesmas ocorram de facto, de modo a permitir a adopo imediata de medidas correctivas. A adequao e a eficcia de tais polticas e procedimentos depende, nomeadamente, da: a) Exigncia de recolha e manuteno de elementos que documentem de forma objectiva as decises tomadas e as operaes realizadas, num formato que seja facilmente acessvel e perceptvel por terceiros e que permita a sua reconstituio por ordem cronolgica; b) Existncia de formulrios padronizados e tipificao clara e objectiva de todos os elementos necessrios para o processamento das operaes; c) Definio e aplicao de requisitos para aprovar ou renovar as operaes, devidamente ajustados ao risco existente, com a identificao clara das condies que devem ser previamente verificadas e a atribuio de competncias inequvocas para a aprovao e renovao, as quais devem ser devidamente reforadas e acompanhadas no caso de operaes com entidades ou indivduos relacionados com a instituio; d) Existncia de um grau adequado de segregao de funes que envolvam responsabilidades conflituantes, nomeadamente, nas operaes de crdito e de mercado, entre a autorizao, a execuo, o registo, a guarda de valores e outra documentao e o respectivo controlo; e) Imposio de restries de segurana no acesso a activos, a recursos e informao, atravs de barreiras fsicas ou informticas, que garantam a proteco contra utilizaes no autorizadas, intencionais ou negligentes; f) Existncia de obrigaes de reporte, anlise e deciso, sempre que ocorram desvios, erros, fraudes, incumprimentos e outras situaes de excepo relativamente s polticas, aos procedimentos e aos limites estabelecidos; g) Implementao e manuteno de indicadores de alerta; h) Imposio de limites objectivos e prudentes para cada um dos riscos incorridos na actividade desenvolvida, at onde for adequado e possvel; i) Realizao de verificaes e reconciliaes peridicas, devidamente consubstanciadas, exactido, autenticidade e validade das operaes registadas; j) Implementao de mtodos adequados de valorizao de activos, passivos e elementos extrapatrimoniais e da sua aplicao com uma periodicidade adequada; k) Definio, implementao e manuteno de planos de continuidade de negcio e ou de recuperao em caso de catstrofe. Artigo 16. Funo de gesto de riscos 1 - As instituies devem estabelecer e manter uma funo de gesto de riscos, responsvel por: a) Assegurar a aplicao efectiva do sistema de gesto de riscos, atravs do acompanhamento contnuo da sua adequao e a eficcia, bem como da adequao e da eficcia das medidas tomadas para corrigir eventuais deficincias desse sistema; b) Prestar aconselhamento ao rgo de administrao e elaborar e apresentar a este e ao rgo de fiscalizao um relatrio, de periodicidade pelo menos anual, relativo gesto de riscos, indicando se foram tomadas as medidas adequadas para corrigir eventuais deficincias. 2 - A instituio deve nomear um responsvel por esta funo e por qualquer prestao de informao relativa a esta e conferir-lhe os poderes necessrios ao desempenho das suas funes de modo independente, designadamente quanto ao acesso a informao relevante. 3 - A funo de gesto de riscos deve ser dotada de recursos materiais e humanos adequados para o desempenho eficaz das suas responsabilidades. 4 - A funo de gesto de riscos deve desempenhar as suas competncias objectivamente e de forma independente relativamente s reas funcionais sujeitas a avaliao sempre que adequado e proporcional face natureza, dimenso e a complexidade das actividades desenvolvidas pela instituio, sendo que, nos restantes casos, devem ser implementados mecanismos que garantam o cumprimento do disposto na alnea a) do n 1. 5 - O requisito de independncia previsto no nmero anterior no exigvel sempre que o nmero de colaboradores da instituio, excluindo os administradores, seja inferior a trinta e os proveitos operacionais no ltimo exerccio econmico sejam inferiores a 20.000.000. 6 - A funo de gesto de riscos deve ser exercida com total autonomia e liberdade, devendo, para o efeito, ter acesso pleno a todas as actividades da instituio e a toda a informao necessria ao desempenho das suas competncias.

7 - Os mtodos de determinao da remunerao do pessoal responsvel pela realizao das tarefas associadas funo de gesto de riscos no devem comprometer a necessria objectividade no exerccio das suas funes. Artigo 17. Funo de "compliance" 1 - As instituies devem estabelecer e manter uma funo de "compliance" independente, permanente e efectiva, para controlar o cumprimento das obrigaes legais e dos deveres a que se encontram sujeitas, que seja, nomeadamente, responsvel: a) Pelo acompanhamento e a avaliao regular da adequao e da eficcia das medidas e procedimentos adoptados para detectar qualquer risco de incumprimento das obrigaes legais e deveres a que a instituio se encontra sujeita, bem como das medidas tomadas para corrigir eventuais deficincias no respectivo cumprimento; b) Pela prestao de aconselhamento aos rgos de administrao e de gesto, para efeitos do cumprimento das obrigaes legais e dos deveres a que a instituio se encontra sujeita; c) Pelo acompanhamento e avaliao dos procedimentos de controlo interno em matria de preveno do branqueamento de capitais e do financiamento do terrorismo, bem como pela centralizao da informao e respectiva comunicao s autoridades competentes; d) Pela prestao imediata ao rgo de administrao de informao sobre quaisquer indcios de violao de obrigaes legais, de regras de conduta e de relacionamento com clientes ou de outros deveres que possam fazer incorrer a instituio ou os seus colaboradores num ilcito de natureza contra-ordenacional; e) Pela manuteno de um registo dos incumprimentos e das medidas propostas e adoptadas nos termos da alnea anterior; f) Pela elaborao e apresentao ao rgo de administrao e ao rgo de fiscalizao de um relatrio, de periodicidade pelo menos anual, identificando os incumprimentos verificados e as medidas adoptadas para corrigir eventuais deficincias. 2 - Para garantir a adequao e a independncia da funo de "compliance", a instituio deve: a) Constituir a funo de "compliance" mediante um processo formal e dot-la de suficiente autonomia e responsabilidade; b) Nomear um responsvel por esta funo e por qualquer prestao de informao relativa a esta e conferir-lhe os poderes necessrios ao desempenho das suas funes de modo independente, designadamente quanto ao acesso a informao relevante; c) Dot-la de recursos materiais e humanos adequados para o desempenho eficaz das suas responsabilidades; d) Assegurar que as pessoas que desempenhem as funes de "compliance" no tm ligao directa s reas funcionais objecto de avaliao, no sentido de evitar conflitos de interesses; e) No caso das suas responsabilidades serem executadas pelo pessoal integrado em diversas unidades de estrutura, a afectao das mesmas a essas unidades de estrutura deve ser clara; f) Assegurar que o mtodo de determinao da remunerao das pessoas que desempenhem as funes de "compliance" no susceptvel de comprometer a sua objectividade. 3 - Os deveres previstos nas alneas d) e f) do nmero anterior no so exigveis se a instituio demonstrar que o seu cumprimento no necessrio para garantir a adequao e a independncia desta funo, tendo em conta a natureza, a dimenso e a complexidade das suas actividades. 4 - Consideram-se abrangidas pelo disposto no nmero anterior, as instituies cujo nmero de colaboradores, excluindo os administradores, seja inferior a seis e os proveitos operacionais no ltimo exerccio econmico sejam inferiores a 1.000.000. Artigo 18. Responsabilidades do rgo de administrao relativamente ao sistema de gesto de riscos 1 - O rgo de administrao deve ter um conhecimento adequado dos tipos de riscos a que a instituio se encontra exposta e dos processos utilizados para identificar, avaliar, acompanhar e controlar esses riscos, bem como das obrigaes legais e dos deveres a que a instituio se encontra sujeita, sendo responsvel pelo estabelecimento e manuteno de um sistema de gesto de riscos apropriado e eficaz. 2 - Para efeitos do nmero anterior, compete ao rgo de administrao: a) Definir e rever a poltica com os objectivos globais e os objectivos especficos para cada rea funcional, no que respeita ao perfil de risco e ao grau de tolerncia face ao risco; b) Aprovar polticas e procedimentos, concretos, eficazes e adequados, para a identificao, avaliao, acompanhamento e controlo dos riscos a que a instituio est exposta, assegurando a sua implementao e cumprimento; c) Aprovar, previamente sua introduo, os novos produtos e actividades da instituio, bem como as respectivas polticas de gesto de risco;

d) Verificar, de forma regular, o cumprimento dos nveis de tolerncia ao risco e das polticas e procedimentos de gesto de riscos, avaliando a sua eficcia e contnua adequao actividade da instituio, no sentido de possibilitar a deteco e correco de quaisquer deficincias; e) Requerer que sejam elaborados e apreciar reportes peridicos, precisos e tempestivos sobre os principais riscos a que a instituio se encontra exposta e que identifiquem os procedimentos de controlo implementados para gerir esses riscos; f) Assegurar a efectiva implementao das suas orientaes e recomendaes no sentido de introduzir correces e ou melhorias no sistema de gesto de riscos; g) Assegurar que as actividades de gesto de riscos tm uma independncia, estatuto e visibilidade suficientes e que so sujeitas a revises peridicas; h) Designar o responsvel pela funo de gesto de riscos e o responsvel pela funo de "compliance" e assegurar que estas funes tm autoridade suficiente para desempenhar as respectivas competncias de forma objectiva e independente, bem como que possuem os recursos materiais e humanos adequados ao desempenho das respectivas tarefas; i) Pronunciar-se sobre os relatrios elaborados pelas funes de gesto de riscos e "compliance", nomeadamente sobre as recomendaes para a adopo de medidas correctivas. 3 - O exerccio das competncias descritas no nmero anterior deve ser adequadamente documentado. CAPTULO IV Sistema de informao e comunicao Artigo 19. Definio e objectivos dos processos de informao e comunicao 1 - O sistema de controlo interno dever garantir a existncia de informao substantiva, actual, compreensvel, consistente, tempestiva e fivel, que permita uma viso global e abrangente sobre a situao financeira, o desenvolvimento da actividade, o cumprimento da estratgia e dos objectivos definidos, o perfil de risco da instituio e o comportamento e evoluo do mercado ou mercados relevantes. 2 - A instituio deve desenvolver, implementar e manter processos formais de captao e tratamento da informao referida no nmero anterior, apropriados dimenso, natureza e complexidade da actividade desenvolvida que suportem a tomada de decises pelos rgos de administrao e de gesto e permitam o cumprimento das obrigaes perante terceiros, nomeadamente as de reporte s autoridades de superviso. 3 - O processo de informao deve estar suportado num sistema contabilstico e estatstico que registe, classifique, associe e arquive, tempestivamente e de forma sistematizada, fivel, completa e consistente, todas as operaes realizadas pela instituio. 4 - A instituio deve instituir processos de comunicao formais e transparentes, e linhas de reporte que garantam uma comunicao eficaz atravs da organizao e assegurem a transmisso tempestiva e adequada da informao para os intervenientes e destinatrios apropriados, tanto internos como externos. 5 - A estrutura organizacional da instituio deve promover o fluxo vertical e horizontal da informao e clarificar quais os deveres e responsabilidades de cada colaborador nos processos de informao e comunicao. Artigo 20. Responsabilidades do rgo de administrao relativamente aos processos de comunicao e informao 1 - O rgo de administrao responsvel por assegurar a implementao e manuteno de processos de informao e de comunicao adequados actividade e aos riscos da instituio. 2 - O exerccio das competncias descritas no nmero anterior deve ser adequadamente documentado. CAPTULO V Monitorizao do sistema de controlo interno Artigo 21. Processo de monitorizao 1 - O processo de monitorizao compreende todas as aces e avaliaes de controlo desenvolvidas pelas instituies com vista a garantir a eficcia e adequao do seu sistema de controlo interno, nomeadamente, atravs da identificao de deficincias no sistema, quer na sua concepo, quer na sua implementao e ou utilizao.

2 - As aces referidas no nmero anterior devem ser executadas numa base contnua e como parte integrante das tarefas dirias da instituio, sendo complementadas por avaliaes autnomas, peridicas e ou extraordinrias, eficazes e completas. 3 - Os colaboradores da instituio devem participar nas aces de controlo, nomeadamente atravs da execuo de procedimentos de reviso das tarefas executadas, previamente sua formalizao ou transmisso a terceiros, e da comunicao de todas as deficincias de que tomem conhecimento. 4 - Por seu lado, os rgos de gesto intermdia devem desenvolver aces de controlo sobre as reas da sua responsabilidade, verificando se os colaboradores desempenham adequadamente as responsabilidades que lhe esto atribudas, analisando eventuais desvios face aos objectivos estabelecidos, mantendo um ambiente de controlo e canais de comunicao apropriados e suficientes e assegurando que os riscos se encontram devidamente identificados. 5 - As aces de controlo devem ser tambm realizadas pelo rgo de administrao, ainda que focalizadas nas reas de negcio principais e na evoluo dos objectivos globais da instituio, bem como nas alteraes internas e externas que possam comprometer a execuo da estratgia e objectivos definidos. 6 - As deficincias com impacto material, quando consideradas individualmente ou agregadas ou por via da sua previsvel ocorrncia continuada, que sejam detectadas no mbito das aces de controlo, devem ser devidamente registadas, documentadas e reportadas aos nveis de gesto apropriados, de modo a possibilitar a adopo tempestiva de medidas correctivas. 7 - As avaliaes autnomas complementares referidas no n 2 devem ser executadas por uma funo de auditoria interna ou subcontratadas, no todo ou em parte, a entidade(s) que possua(m) as qualificaes e a capacidade para realizar, de forma eficaz, confivel e profissional, as tarefas associadas funo subcontratada. 8 - Encontram-se dispensadas do cumprimento do nmero anterior as instituies em que a existncia, ou a subcontratao, da funo de auditoria interna no seja exequvel ou apropriada face natureza, dimenso e a complexidade da actividade desenvolvida, devendo, neste caso, ser aplicados procedimentos de monitorizao adicionais. 9 - Consideram-se abrangidas pelo disposto no nmero anterior as instituies cujo nmero de colaboradores da instituio, excluindo os administradores, seja inferior a trinta e os proveitos operacionais no ltimo exerccio econmico sejam inferiores a 20.000.000. 10 - A frequncia das avaliaes referidas no n 7 e dos procedimentos de monitorizao adicionais previstos no n 8 devem depender da natureza e magnitude dos riscos inerentes actividade desenvolvida e da eficcia dos controlos especficos associados. 11 - Caso entidades terceiras detectem e comuniquem instituio deficincias no sistema de controlo interno, devem ser tomadas, pelos nveis de gesto apropriados e, quando adequado, pelo rgo de administrao, as medidas correctivas adequadas e consideradas necessrias, as quais devem ficar devidamente registadas e documentadas e, uma vez implementadas, ser testada a sua eficcia e adequao para ultrapassar a deficincia existente. 12 - O processo de monitorizao do sistema de controlo interno deve ser adequadamente documentado, nomeadamente atravs da identificao das alteraes introduzidas ao longo do tempo. Artigo 22. Funo de auditoria interna 1 - A funo de auditoria interna deve ter um carcter permanente, actuar com independncia e ser responsvel por: a) Elaborar e manter actualizado um plano de auditoria para examinar e avaliar a adequao e a eficcia das diversas componentes do sistema de controlo interno da instituio, bem como do sistema de controlo interno como um todo; b) Emitir recomendaes baseadas nos resultados das avaliaes realizadas e verificar a sua observncia; e c) Elaborar e apresentar ao rgo de administrao e ao rgo de fiscalizao um relatrio, de periodicidade pelo menos anual, sobre questes de auditoria, com uma sntese das principais deficincias detectadas nas aces de controlo, os quais, ainda que sejam imateriais quando considerados isoladamente, possam evidenciar tendncias de deteriorao do sistema de controlo interno, bem como indicando e identificando as recomendaes que foram seguidas. 2 - Para efeitos de um adequado desempenho da funo de auditoria interna, as suas tarefas devem respeitar os seguintes princpios: a) O plano de auditoria deve assegurar um exame abrangente, orientado para o risco, das actividades, sistemas e processos da instituio, que permita avaliar a adequao e a eficcia do sistema de controlo interno; b) Para cada avaliao deve ser delineado um programa que defina os objectivos da auditoria, identifique as actividades e os procedimentos de controlo interno objecto de reviso e estabelea os recursos necessrios para a sua execuo;

c) Devem ser claramente definidos os critrios para avaliar a adequao de polticas, procedimentos e controlos especficos implementados pela instituio; d) O pessoal que executa a auditoria interna deve ter acesso pleno a todas as actividades da instituio, incluindo sucursais, bem como a toda a informao necessria realizao de uma adequada avaliao; e) A realizao de uma aco de auditoria deve compreender a elaborao ou actualizao do dossier permanente da actividade de risco alvo de avaliao; f) As deficincias identificadas pela auditoria interna, assim como as consequentes recomendaes, devem ser oportunamente registadas, documentadas e reportadas directamente ao rgo de administrao, quando sejam materiais, ou ao rgo de gesto apropriado, nos restantes casos, de modo a garantir que a avaliao no enviesada e que as questes identificadas so prontamente tomadas em considerao; g) Deve ser previsto um acompanhamento contnuo por parte da funo de auditoria interna das situaes identificadas, no sentido de garantir que as medidas necessrias so tomadas e que as mesmas so geridas adequadamente. 3 - A funo de auditoria interna deve desenvolver a sua actividade em conformidade com os princpios de auditoria interna reconhecidos e aceites a nvel internacional. 4 - A instituio deve nomear um responsvel por esta funo e por qualquer prestao de informao relativa a esta e conferir-lhe os poderes necessrios ao desempenho das suas funes de modo independente, designadamente quanto ao acesso a informao relevante; 5 - A funo de auditoria interna deve ser dotada de recursos humanos suficientes, competentes, qualificados e experientes, com uma clara compreenso do seu papel e responsabilidades. 6 - No caso das tarefas associadas funo de auditoria interna serem subcontratadas a terceiros, o responsvel a que se refere o n 4 deve, em articulao com a entidade subcontratada, zelar pelo cumprimento do disposto nos n 1 a 3. 7 - A funo de auditoria interna deve ter autoridade suficiente para desempenhar as suas competncias objectivamente e de forma independente, devendo, neste sentido, estar suportada por um regulamento de auditoria formalmente aprovado pelo rgo de administrao, deter uma posio adequada na estrutura organizacional, ser independente das restantes reas funcionais da instituio e reportar directamente ao rgo de administrao. 8 - O disposto nos nmeros anteriores aplicvel sempre que adequado e proporcional, tendo em conta a natureza, a dimenso e a complexidade da actividade desenvolvida pela instituio. Artigo 23. Responsabilidades do rgo de administrao relativamente ao processo de monitorizao 1 - O rgo de administrao responsvel pela implementao e manuteno de um processo de monitorizao do sistema de controlo interno adequado e eficaz, competindo-lhe, designadamente, nesse mbito: a) Aprovar polticas e procedimentos, concretos, eficazes e adequados, para o processo de monitorizao do sistema de controlo interno, assegurando a sua implementao e cumprimento; b) Requerer e assegurar que so elaborados, e apreciar reportes peridicos, precisos e tempestivos, sobre a adequao e a eficcia do sistema de controlo interno, no sentido de possibilitar a deteco e correco de quaisquer deficincias; c) Designar o responsvel pela funo de auditoria interna e assegurar que esta funo tem autoridade suficiente para desempenhar as suas competncias objectivamente e de forma independente, bem como que possui os recursos materiais e humanos adequados ao desempenho das respectivas tarefas; d) Pronunciar-se sobre os relatrios elaborados pela funo de auditoria interna, nomeadamente sobre as recomendaes para a adopo de medidas correctivas; e) Assegurar a efectiva implementao das suas orientaes e recomendaes no sentido de introduzir correces e ou melhorias no sistema de controlo interno. 2 - No caso da instituio subcontratar a funo de auditoria interna, ao abrigo do disposto no n 7 do artigo 21., o rgo de administrao continua a assumir a responsabilidade mxima de assegurar que o sistema de controlo interno e a auditoria interna so adequados e funcionam de forma eficaz. 3 - O exerccio das competncias descritas no nmero anterior deve ser adequadamente documentado. CAPTULO VI Sistema de controlo interno dos grupos financeiros Artigo 24. Requisitos mnimos do sistema de controlo interno dos grupos financeiros

1 - Com vista a assegurar uma efectiva gesto dos riscos associados actividade do grupo, a empresa-me deve assegurar que todas as suas filiais, incluindo as filiais no estrangeiro e os estabelecimentos "off-shore", implementam sistemas de controlo interno coerentes entre si e em conformidade com os requisitos definidos no presente Aviso. 2 - Adicionalmente, a empresa-me deve dispor de um sistema de controlo interno que, designadamente: a) Estabelea procedimentos adequados ao objectivo do cumprimento, em cada momento, dos limites e relaes referidos no n 1. do Aviso do Banco de Portugal n 8/94, de 15 de Novembro, assim como para o reporte da informao necessria superviso prudencial em base consolidada; b) Assegure eficazmente o controlo e a gesto das filiais, assegurando a implementao de processos destinados recolha da informao essencial para o efeito e, nomeadamente, de forma a proceder ao efectivo controlo dos riscos associados sua actividade; c) Institua o controlo necessrio obteno de toda a informao relevante para o processo de consolidao - informao contabilstica e demais elementos informativos; d) Defina de forma clara o contedo e formato da informao a reportar pelas entidades includas no permetro de consolidao e assegure que estas entidades se encontram dotadas dos meios necessrios referida prestao de informao; e) Estabelea procedimentos de informao de modo a identificar, medir e controlar eficazmente as operaes intra-grupo, sua natureza e caractersticas, assim como as concentraes de riscos; f) Contemple os procedimentos adequados para garantir que a informao de gesto coerente entre as vrias entidades, de tal modo que a empresa-me possa medir, seguir e controlar os riscos em que o grupo incorre; g) Controle o cumprimento, a todo o momento, dos rcios e limites prudenciais em base consolidada, respectivo reporte ao Banco de Portugal e procedimentos estabelecidos para a consolidao. 3 - Para efeitos do dispostos nos nmeros anteriores, entende-se por: a) Empresa-me: a pessoa colectiva que, dentro do permetro de consolidao relevante para efeitos da superviso prudencial, exerce, em ltima instncia, o domnio sobre outra(s) pessoa(s) colectiva(s) - sua(s) filial(ais) - , sendo responsvel pela situao financeira consolidada ou subconsolidada, bem como pela informao necessria ao exerccio da superviso prudencial, nos termos do Aviso n 8/94; b) Filial: entidade sobre a qual a empresa-me exerce o domnio, considerando-se que a filial de uma filial igualmente filial da empresa-me de que ambas dependem, e que esteja includa no permetro de superviso em base consolidada ou subconsolidada, nos termos do disposto no Aviso n 8/94; c) Estabelecimento "off-shore": a entidade (filial ou sucursal) estabelecida em territrio, incluindo o nacional, caracterizado por atrair um volume significativo de actividade com no residentes, em virtude, designadamente da existncia de regimes menos exigentes de obteno de autorizao para o exerccio da actividade bancria e de superviso, de regime especial de sigilo bancrio, de vantagens fiscais, de legislao diferenciada para residentes/no residentes ou de facilidades de criao de veculos de finalidade especial (special purpose vehicles - SPVs); d) No caso do SICAM, entende-se por empresa-me a Caixa Central de Crdito Agrcola Mtuo. 4 - A funo da auditoria interna da empresa-me dever ser adequada dimenso e natureza das actividades do grupo, supervisionando a eficcia e a adequao dos controlos internos e zelando pela fiabilidade e pela pontualidade da informao reportada pelas filiais, bem como pelo cumprimento das normas internas e dos procedimentos definidos. 5 - No cumprimento das responsabilidades previstas no nmero anterior, a funo de auditoria interna da empresa-me pode apoiar-se nos trabalhos desenvolvidos pelas funes de auditoria interna das suas filiais. 6 - As instituies pertencentes a um mesmo grupo financeiro podem estabelecer servios comuns para o desenvolvimento das responsabilidades atribudas s funes de gesto de riscos, de "compliance" e de auditoria interna e designar um responsvel para cada um destes servios comuns, desde que esses servios sejam dotados dos recursos humanos e materiais apropriados para o desempenho eficaz das suas responsabilidades e sejam salvaguardados os requisitos de independncia e o acesso informao relativamente a cada uma das instituies. 7 - Para efeitos do nmero anterior, os critrios referidos nos n 4 do artigo 16., n 3 do artigo 17. e n 8 do artigo 21. so aferidos ao nvel do grupo. CAPTULO VII Relatrios e pareceres Artigo 25. Relatrio individual 1 - A instituio deve remeter anualmente ao Banco de Portugal um relatrio, que inclua as seguintes informaes:

a) Descrio sinttica da estratgia de negcio prosseguida, representatividade de cada uma das actividades exercidas e perspectivas de evoluo futura; b) Organograma indicando todas as unidades de estrutura da instituio e, para cada uma delas, breve descrio das respectivas competncias, informao sobre nmero de pessoas que a compem e identificao do respectivo responsvel; c) Identificao das reas funcionais da instituio (reas de negcio e funes de grupo), especificando as unidades de estrutura associadas; d) Actividades e funes efectuadas em regime de subcontratao e a entidade subcontratada. 2 - O relatrio mencionado no nmero anterior deve, em relao funo de "compliance", funo de gesto de riscos e funo de auditoria interna, incluir: a) A identificao dos respectivos responsveis; b) Uma descrio, organizada por reas funcionais, das eventuais deficincias detectadas por cada funo, desde a data de elaborao do relatrio do ano anterior, e que ainda no se encontrem integralmente corrigidas, indicando: i) A funo responsvel pela sua deteco; ii) A data em que foram detectadas e a data em que foram comunicadas ao rgo de administrao; iii) A categoria e o grau de risco associados e uma descrio das suas potenciais implicaes; iv) As medidas em curso ou a adoptar para corrigir as deficincias detectadas e prevenir a sua ocorrncia futura, incluindo os prazos estabelecidos para o efeito; c) Uma descrio de eventuais deficincias identificadas em relatrios anteriores e que ainda se mantenham, indicando o prazo previsto para a sua correco, bem como, caso aplicvel, uma justificao para o no cumprimento do calendrio inicialmente previsto; d) Em relao funo de "compliance", caso a instituio no disponha de uma funo de "compliance" independente, demonstrao de que a instituio rene as condies previstas no n 3 do artigo 17.; e) Em relao funo de gesto de riscos, caso a instituio no disponha de uma funo de gesto de riscos independente, demonstrao de que rene as condies previstas no n 4 do artigo 16. e descrio dos mecanismos implementados com vista a garantir o cumprimento da alnea a) do n 1 desse artigo. f) Em relao ao servio de auditoria interna: i) Uma descrio do plano de auditoria interna previsto na alnea a) do n 1 do artigo 22.; ii) Indicao da data da ltima aco de auditoria realizada a cada rea funcional da instituio, devendo ser explicitamente identificadas aquelas que no tenham sido objecto de aces de auditoria no perodo a que se reporta o relatrio; iii) Caso a instituio no disponha de um servio de auditoria interna, demonstrao de que a instituio rene as condies previstas no n 8 do artigo 21. 3 - O relatrio a que se refere o n 1 deve ainda incluir uma opinio global do rgo de administrao sobre a adequao e a eficcia do sistema de controlo interno, a qual dever descrever as deficincias que no tenham sido indicadas ao abrigo do n 2 e ainda no tenham sido integralmente corrigidas, organizadas por reas funcionais, com indicao da categoria e do grau de risco associados, das suas potenciais implicaes, bem como das aces em curso ou adoptar para as corrigir e prevenir a sua ocorrncia futura e os prazos estabelecidos para o efeito. 4 - O relatrio mencionado no n 1 deve ser acompanhado de documento anexo, o qual faz parte integrante do mesmo, com informao, segregada por natureza e rea funcional, sobre o nmero e o montante agregado das operaes analisadas em cumprimento do artigo 15. da Lei n 25/2008, de 5 de Junho, e das comunicadas ao abrigo dos artigos n 16. e 27. do mesmo diploma. 5 - O relatrio a que se refere o n 1 deve ainda ser acompanhado de: a) Um parecer do rgo de fiscalizao da instituio, em que seja emitida opinio detalhada sobre a adequao e a eficcia do sistema de controlo interno, face aos requisitos definidos pelo presente Aviso, com excepo das reas abrangidas pela alnea seguinte; b) Um parecer do revisor oficial de contas sobre a adequao e a eficcia da parte do sistema de controlo interno subjacente ao processo de preparao e de divulgao de informao financeira (relato financeiro), incluindo a verificao: (i) da regularidade dos livros, registos contabilsticos e documentos que lhe servem de suporte; (ii) da extenso da caixa e das existncias de qualquer espcie dos bens ou valores pertencentes sociedade ou por ela recebidos em garantia, depsito ou outro ttulo; (iii) da exactido dos documentos de prestao de contas, e (iv) se as polticas contabilsticas e os critrios valorimtricos adoptados pela sociedade conduzem a uma correcta avaliao do patrimnio e dos resultados, c) No que se refere s caixas de crdito agrcola mtuo integrantes do SICAM, em caso de inexistncia de revisor oficial de contas, o parecer referido na alnea anterior deve ser elaborado pelo rgo de fiscalizao. 6 - Os pareceres referidos no nmero anterior devem: a) Mencionar explicitamente a sua data de referncia, as deficincias relevantes detectadas no mbito da aco fiscalizadora, organizadas por reas funcionais, com indicao da categoria e do grau de risco associados, das suas potenciais implicaes, bem como das aces acordadas com o rgo de

administrao tendo em vista a sua correco e o plano para a sua concretizao, sendo que a ausncia de deficincias deve ser expressamente declarada; b) Em cada exerccio, indicar o estado de concretizao das medidas correctivas determinadas no exerccio anterior, em resultado do "follow-up" realizado. 7 - No caso de instituies cuja fiscalizao assegurada por um fiscal nico, permanece a obrigao de serem emitidos dois pareceres: um sobre a adequao e a eficcia do sistema de controlo interno e um outro circunscrito adequao do controlo interno ao processo de preparao e de divulgao da informao financeira. 8 - A substituio, definitiva ou prolongada, ou a alterao dos dados de contacto do responsvel pela funo de "compliance" indicado ao abrigo da alnea a) do n 2 devem ser, de imediato, comunicadas ao Banco de Portugal. 9 - O relatrio a que se refere o n 1 e os pareceres mencionados no n 5 devem ser remetidos ao Banco de Portugal pelo rgo de administrao da instituio, at ao final do ms de Junho. 10 - A descrio a que se refere o n 2 deve reflectir o teor dos relatrios das funes de "compliance", de gesto de riscos e de auditoria interna submetidos ao rgo de administrao at 30 dias antes da data de envio do relatrio ao Banco de Portugal, enquanto a informao prevista no n 1 e a opinio do rgo de administrao referida no n 3 devem reproduzir a situao at 15 dias antes do seu envio ao Banco de Portugal. Artigo 26. Relatrio de controlo interno do grupo financeiro 1 - A "empresa-me" deve elaborar anualmente um relatrio sinttico sobre o sistema de controlo interno do grupo, que, no mnimo, inclua os seguintes aspectos: a) Estrutura organizativa do grupo; b) Actividades e funes que sejam exercidas centralmente, indicando a entidade que as exerce, as entidades que beneficiem de tais actividades e funes, e fazendo referncia expressa s actividades desenvolvidas atravs de sociedades gestoras de participaes sociais e de sociedades de servios auxiliares, bem como as efectuadas em regime de subcontratao; c) Descrio das eventuais deficincias detectadas pela funo de auditoria interna da empresame, e ainda no corrigidas, relativamente aos requisitos do sistema de controlo interno definidos no n 2 do artigo 24., com indicao da categoria e do grau de risco associados, das suas potenciais implicaes, bem como das medidas em curso ou a adoptar para as corrigir e prevenir a sua ocorrncia futura, incluindo os prazos estabelecidos para o efeito; d) Relatrios individuais de cada uma das entidades sujeitas a superviso em base consolidada ou subconsolidada (empresa-me e filiais, incluindo todas as filiais no estrangeiro, e estabelecimentos "off-shore") e respectivos pareceres, elaborados nos termos do artigo 25.; 2 - Para efeitos da alnea c) do n 1, dever ser tido em conta o seguinte: a) As entidades obrigadas a apresentar relatrios individuais so as abrangidas pelo artigo 1., as filiais no estrangeiro e os estabelecimentos "off-shore", includos no permetro de superviso em base consolidada, que, independentemente da sua designao e classificao formal, exeram em termos efectivos alguma das actividades enunciadas nas alneas a) a i), q) e r) do n 1 do artigo 4. do Regime Geral das Instituies de Crdito e Sociedades Financeiras, sem prejuzo do disposto na alnea seguinte; b) No esto obrigadas a elaborar relatrios individuais as filiais no estrangeiro sem actividade relevante e que no influenciem o perfil de risco do grupo, ficando a empresa-me com a responsabilidade de justificar adequadamente tal excluso no relatrio referido no n 1 e o Banco de Portugal com a possibilidade de requer a sua incluso no relatrio do ano seguinte; c) No esto, igualmente, obrigadas a elaborar relatrios individuais as filiais no estrangeiro cuja actividade se limite de "escritrio de representao", em termos idnticos aos estabelecidos no artigo 63. do Regime Geral das Instituies de Crdito e Sociedades Financeiras; d) Os pareceres previstos no n 5 do artigo 25. podem ser produzidos pelo rgo de fiscalizao e pelo revisor oficial de contas da empresa-me, no caso das filiais no estrangeiro e, igualmente, pelo rgo de fiscalizao e revisor oficial de contas da empresa-me das filiais domsticas, neste caso apenas se se verificar e for devidamente comprovado que tambm exerce aco fiscalizadora sobre essas filiais em matria de controlo interno; e) As deficincias associadas s tarefas centralizadas das vrias entidades do grupo devem ser includas no relatrio de controlo interno da empresa-me; f) Relativamente s CCAM integrantes do SICAM, a Caixa Central de Crdito Agrcola Mtuo deve elaborar, em articulao com o Banco de Portugal, um modelo de relatrio a apresentar pelas mesmas que respeite os princpios e orientaes definidos no Aviso. 3 - O relatrio a que se refere o n 1 deve ainda incluir uma opinio global do rgo de administrao sobre a adequao e a eficcia do sistema de controlo interno do grupo financeiro, a qual dever descrever as deficincias face ao estabelecido no artigo 24. e que no tenham sido enumeradas ao abrigo da alnea c) do n 1, organizadas por reas funcionais, com indicao da

categoria e do grau de risco associados, das suas potenciais implicaes, bem como das medidas em curso ou a adoptar para superar tais deficincias e os prazos estabelecidos para o efeito. 4 - O relatrio a que se refere o n 1 deve ser acompanhado de: a) Um parecer do rgo de fiscalizao da empresa-me, com opinio detalhada sobre a adequao e a eficcia do sistema de controlo interno do grupo para assegurar o cumprimento dos requisitos definidos no artigo 24.; b) Um parecer do rgo de fiscalizao da empresa-me sobre a coerncia dos sistemas de controlo interno das filiais, incluindo as filiais no estrangeiro e os estabelecimentos "off-shore", podendo tal opinio ser fundamentada nos respectivos pareceres elaborados para o efeito pelos rgos de fiscalizao de cada uma das filiais, caso em que, no entanto, a responsabilidade pelos mesmos, para efeitos do presente Aviso, do rgo de fiscalizao da empresa-me; c) Um parecer do revisor oficial de contas sobre a adequao do controlo interno, circunscrito anlise do controlo interno subjacente ao processo de preparao e de divulgao de informao financeira consolidada (relato financeiro), nos termos previstos na alnea b) do n 5 do artigo 25. 5 - Os pareceres referidos no nmero anterior devem: a) Mencionar explicitamente a sua data de referncia, as deficincias relevantes detectadas no mbito da aco fiscalizadora, indicando ainda a categoria e o grau de risco associado, as suas potenciais implicaes, bem como as medidas acordadas com o rgo de administrao tendo em vista a sua correco e o plano para a sua concretizao, sendo que a ausncia de deficincias deve ser expressamente declarada; b) Em cada exerccio, indicar o estado de concretizao das medidas correctivas determinadas no exerccio anterior, em resultado do "follow-up" realizado. 6 - O relatrio a que se refere o n 1 e os pareceres mencionados no n 4 devem ser remetidos ao Banco de Portugal pelo rgo de administrao da empresa-me, at ao final do ms de Junho. 7 - A descrio a que se refere a alnea c) do n 1 deve reflectir o teor dos relatrios da funo de auditoria interna da empresa-me submetidos ao rgo de administrao at 30 dias antes da data de envio do relatrio ao Banco de Portugal, enquanto a descrio prevista nas alneas a) e b) do n 1 e a opinio do rgo de administrao referida no n 3 devem reproduzir a situao at 15 dias antes do seu envio ao Banco de Portugal. 8 - O envio pela "empresa-me" dos relatrios individuais referidos na alnea d) do n 1 substitui a obrigao prevista no n 9 do artigo 25. CAPTULO VIII Disposies transitrias e finais Artigo 27. Requisitos e orientaes O Banco de Portugal pode estabelecer requisitos normativos adicionais ou orientaes de ndole tcnica para efeitos da implementao dos sistemas de controlo interno das instituies, nomeadamente no que se refere s reas ou aos riscos mais relevantes. Artigo 28. Disposies transitrias 1 - De modo a garantir que as instituies dispem de um prazo adequado para dar cumprimento aos requisitos definidos no presente Aviso, os relatrios previstos nos artigos 25. e 26., podero, em 2008 e a ttulo extraordinrio, ser enviados ao Banco de Portugal at ao dia 31 de Dezembro. Artigo 29. Disposio revogatria 1 - revogado o Aviso do Banco de Portugal n 3/2006, de 9 de Maio de 2006. 2 - Todas as referncias realizadas para o Aviso referido no nmero anterior consideram-se feitas para o presente Aviso. Artigo 31. Entrada em vigor O presente Aviso entra em vigor no dia seguinte ao da sua publicao. 25 de Junho de 2008. - O Governador, Vtor Constncio.