Supervisão do governo societário e do sistema de controlo interno
O governo societário inclui as pessoas, estruturas, sistemas, normas e procedimentos utilizados para assegurar a direção e o controlo de uma instituição.
As instituições devem garantir, a nível individual e consolidado, que o seu governo societário se encontra dotado de estruturas de governo, estruturas de incentivos e pessoas que promovam uma gestão sã e prudente.
As instituições podem optar entre os três modelos de governo previstos no Código das Sociedades Comerciais: clássico, germânico e anglo-saxónico.
É responsabilidade das instituições serem capazes de justificar do ponto de vista prudencial, em cada momento, o seu modelo de governo, bem como a eventual decisão de o substituir.
A alteração ao modelo de governo encontra-se sujeita a autorização prévia do Banco de Portugal. Para tanto, não é suficiente a instituição invocar que o novo modelo é um dos modelos tipificados no Código das Sociedades Comerciais. É necessário que justifique, do ponto de vista prudencial, a razão pela qual considera que o novo modelo melhor promoverá uma gestão sã e prudente, atendendo à situação concreta da instituição.
Qualquer modelo de governo adotado incluirá:
- Uma função deliberativa;
- Uma função de administração;
- Uma função de supervisão interna.
Compete à instituição assegurar que os órgãos responsáveis por cada uma das funções de governo e o modelo de governo como um todo funcionam adequadamente, promovendo uma gestão sã e prudente.
A instituição deve garantir, designadamente, que existe um fluxo adequado de informação entre os diversos órgãos. Estes, por sua vez, devem assegurar que o seu processo decisório segue procedimentos claros e devidamente documentados e formalizados.
As funções de administração e de supervisão interna assumem responsabilidade conjunta pela instituição. Cabe-lhes:
- Aprovar e fiscalizar, de acordo com as suas competências, a implementação dos objetivos estratégicos, da estratégia de risco e do governo interno da instituição;
- Assegurar a integridade dos sistemas contabilísticos e de informação financeira, incluindo o controlo financeiro e operacional e o cumprimento da legislação e regulamentação aplicáveis à instituição;
- Supervisionar a divulgação de informação e o cumprimento dos deveres de informação perante o Banco de Portugal;
- Acompanhar e controlar a atividade da direção de topo.
O Banco de Portugal supervisiona, de forma contínua, o funcionamento do modelo de governo como um todo e o funcionamento de cada uma das funções em particular, atendendo ao princípio da proporcionalidade.
O Banco verifica se as estruturas de governo previstas se encontram, formal e substancialmente, de acordo com o regulamentado e avalia o funcionamento em concreto do modelo de governo adotado. Esta monitorização tem impacto na avaliação anual do processo de análise e avaliação pelo supervisor (SREP).
A supervisão do Banco de Portugal em nada exime a responsabilidade das instituições de assegurarem, através do seu modelo de governo, e respetivo funcionamento, uma gestão sã e prudente.
As instituições devem avaliar periodicamente o seu modelo de governo para identificarem oportunidade de melhoria e devem adotar as medidas necessárias para corrigir quaisquer deficiências detetadas.
No exercício da supervisão, e atendendo ao princípio da proporcionalidade, o Banco de Portugal mantém contacto regular com os membros dos órgãos sociais das instituições que supervisiona. Caso entenda necessário, pode assistir presencialmente às reuniões destes órgãos.
A função deliberativa decide quanto a questões fundamentais da instituição, como sejam a eleição de órgãos sociais, alterações ao capital social ou alterações ao contrato de sociedade.
A função deliberativa compete, em todos os modelos de governo, à assembleia geral, na qual se encontram representados os seus participantes (por exemplo, os acionistas).
É responsabilidade dos participantes no capital social das instituições, em especial dos seus participantes qualificados (ou seja, detentores de 10% ou mais do capital social ou dos direitos de voto da instituição ou com possível influência significativa na sua gestão), um exercício atento dos seus direitos e o cumprimento cabal dos seus deveres.
O Banco de Portugal ou o Banco Central Europeu avaliam a idoneidade de participantes qualificados, diretos ou indiretos, no âmbito da constituição de novas instituições e da aquisição de participações qualificadas. Nos casos legalmente previstos, podem inibir os direitos de voto de um participante qualificado, de forma a prevenir influência que considerem prejudicial à gestão sã e prudente da instituição.
O participante qualificado e a instituição devem informar o Banco de Portugal ou o Banco Central Europeu do(s) beneficiário(s) efetivo(s) da participação qualificada em causa, bem como de quaisquer alterações posteriores a essa participação. Não devem existir relações de participação opacas, que impeçam o Banco de Portugal ou o Banco Central Europeu de exercerem cabalmente a sua função de supervisão prudencial.
Atento o princípio da proporcionalidade, o Banco de Portugal reúne, quando necessário, com os participantes qualificados das instituições e solicita-lhes informações relevantes para a supervisão.
Não existe qualquer avaliação de adequação para o exercício de funções dos membros da mesa da assembleia geral. No entanto, estes encontram-se sujeitos a registo especial junto do Banco de Portugal.
A função de administração, ou de gestão corrente, compete aos membros executivos do órgão de administração da instituição, ou seja, aos:
- Membros executivos do conselho de administração (nos modelos clássico e anglo-saxónico);
- Membros do conselho de administração executivo (no modelo germânico).
Os responsáveis pela função de administração devem cumprir cabalmente os deveres fiduciários a que se encontram adstritos – dever de lealdade e dever de cuidado –, promovendo uma gestão sã e prudente da instituição e uma forte cultura de risco, traduzida numa atitude saudável, responsável e prudente perante o risco, no estrito cumprimento de regras de ética e (de forma substancial, não apenas formal) de todas as disposições legais e regulamentares aplicáveis.
A análise e decisão efetuadas devem ter em consideração os interesses de longo prazo da instituição, atendendo, de forma isenta, aos interesses dos seus stakeholders internos e externos, de acordo com procedimentos claros, devidamente documentados e formalizados.
A função de administração deve manter uma estreita colaboração com as demais funções de governo societário, assegurando que estas têm acesso a todos os meios e informação necessários para o exercício cabal das suas funções.
No que respeita ao tratamento dos riscos, a função de administração deve:
- Aprovar e rever periodicamente as estratégias e políticas relativas à assunção, gestão, controlo e redução dos riscos a que a instituição está ou possa vir a estar sujeita, incluindo os resultantes da conjuntura macroeconómica em que atua, atendendo à fase do ciclo económico;
- Alocar recursos adequados à gestão dos riscos inerentes à atividade da instituição;
- Afetar tempo suficiente à análise das questões de risco;
- Participar ativamente na avaliação de ativos e na utilização de notações de risco externas e de modelos internos relacionados com esses riscos.
As instituições devem dispor de um conjunto de procedimentos internos que permitam à função de administração ter acesso regular à informação necessária ao cabal cumprimento das suas funções.
O órgão de administração deve ser constituído, no mínimo, por três membros, sendo pelo menos dois responsáveis pela gestão corrente da instituição. Em todo o caso, compete à instituição definir o número de membros do órgão de administração. A instituição deve ser capaz de justificar cabalmente ao Banco de Portugal, do ponto de vista prudencial, a necessidade e a adequação desse número.
A instituição deve assegurar, em permanência, que os membros do órgão de administração da instituição são adequados para o exercício das suas funções, preenchendo os requisitos legais para o efeito.
A função de supervisão interna compete aos membros não executivos do órgão de administração e/ou aos membros do órgão de fiscalização, ou seja, aos:
- Membros não executivos do conselho de administração (nos modelos clássico e anglo-saxónico), incluindo os membros da Comissão de Auditoria (no modelo anglo-saxónico);
- Membros do conselho fiscal (no modelo clássico);
- Membros do conselho geral e de supervisão (no modelo germânico).
As entidades de interesse público devem dispor de um órgão de fiscalização coletivo.
O exercício da função de supervisão interna pressupõe o cumprimento cabal dos deveres fiduciários a que os membros dos órgãos de fiscalização e administradores não executivos se encontram adstritos (dever de lealdade e dever de cuidado), bem como o exercício do cargo de forma ética, promovendo uma gestão sã e prudente da instituição e mantendo uma estreita colaboração com as demais funções de governo.
A função do órgão de fiscalização não se esgota num acompanhamento puramente contabilístico e financeiro da atividade do órgão de administração. Compete à função de supervisão interna acompanhar e monitorizar, de forma diligente e informada, o funcionamento do órgão de administração, assegurando que este pauta a sua análise e decisão pelos princípios subjacentes a uma gestão sã e prudente, no estrito cumprimento dos seus deveres éticos e fiduciários.
Os administradores não executivos são membros de pleno direito do órgão de administração nos quais não foram delegadas funções executivas.
É responsabilidade dos administradores não executivos acompanhar de modo crítico, diligente e informado a atividade dos administradores executivos, exercendo, cabalmente, o seu dever de vigilância geral da sua atividade. Devem ainda intervir criticamente nas decisões tomadas pelo órgão de administração como um todo.
Os administradores não executivos devem exercer, de forma efetiva, todos os poderes que lhes são conferidos, no sentido de promover uma gestão sã e prudente da instituição.
Devem assegurar uma boa articulação com o órgão de fiscalização ou, caso sejam membros de uma comissão de auditoria, exercer efetivamente os poderes específicos que advêm dessa participação.
A função de supervisão interna deve manter uma relação próxima com o sistema de controlo interno da instituição.
Devem existir linhas de reporte diretas entre as funções de controlo interno e o órgão de fiscalização, de modo que este tenha acesso regular à informação necessária ao cabal exercício das suas funções, sem necessidade de intervenção do órgão de administração.
A comissão de auditoria, no modelo anglo-saxónico, deve garantir a sua própria isenção em face da função de administração.
O órgão de fiscalização deve ser constituído, no mínimo, por três membros. Em todo o caso, compete à instituição definir o número de membros do órgão de fiscalização, bem como a existência ou não de administradores não executivos. A instituição deve ser capaz de justificar cabalmente ao Banco de Portugal, do ponto de vista prudencial, a necessidade e a adequação dessas escolhas.
A instituição deve assegurar, a todo o tempo, que os responsáveis pela função de supervisão interna da instituição são adequados para o exercício das suas funções, preenchendo os requisitos legais para o efeito, incluindo o de existir uma maioria de membros formalmente independentes.
Presidente do órgão de administração e presidente da comissão executiva
É uma boa prática de governo societário a separação entre o exercício de funções como presidente do órgão de administração e como presidente da comissão executiva.
Esta separação facilita, nomeadamente, a substituição do presidente da comissão executiva quando necessária para a promoção de uma gestão sã e prudente da instituição.
Assim, é responsabilidade das instituições serem capazes de justificar, do ponto de vista prudencial, a existência de um presidente do órgão de administração com funções executivas, bem como quaisquer medidas adotadas para mitigar eventuais riscos inerentes a essa opção.
É considerada boa prática a constituição de comités especializados para auxiliar os órgãos de administração e fiscalização no exercício das suas funções de gestão.
As instituições podem constituir, entre outros, os seguintes comités:
- Comité de risco;
- Comité de remunerações;
- Comité de nomeações (sempre facultativo).
A constituição do comité de risco é obrigatória nas instituições identificadas como outras instituições de importância sistémica (O-SII).
A constituição do comité de remunerações é obrigatória nas seguintes instituições:
- Instituições de crédito identificadas como outras instituições de importância sistémica (O-SII);
- Instituições que, não tendo sido identificadas como outras instituições de importância sistémica (O-SII), tenham colaboradores, incluindo os membros dos órgãos de administração e de fiscalização, que auferem rendimentos de montante particularmente elevado, traduzidos em rendimentos anuais iguais ou superiores a 1 milhão de euros, por exercício económico.
É responsabilidade das instituições definirem os comités a constituir, atendendo a critérios de racionalidade e de eficiência organizativa. As instituições devem ser capazes de justificar a utilidade e as funções destes comités perante o Banco de Portugal.
A distribuição de competências e as linhas de reporte dos comités devem ser claras e o seu funcionamento deve ser devidamente regulamentado e documentado.
Quando as instituições decidam criar um comité legalmente previsto, ainda que não por obrigação legal, o comité em causa deve ter as competências definidas pela lei.
O sistema de controlo interno permite à instituição gerir adequadamente os riscos decorrentes do exercício da sua atividade, atendendo ao perfil de risco, à apetência pelo risco e à tolerância ao risco da instituição.
Deve promover uma forte cultura de risco, ou seja, uma atitude saudável, responsável e prudente perante o risco.
É responsabilidade das instituições disporem de um sistema de controlo interno:
- Dotado de recursos adequados para cumprir cabalmente a sua função;
- No qual as funções de controlo são funcionalmente independentes das unidades operacionais que controlam;
- Com o estatuto interno necessário para influenciar significativamente o processo de análise e tomada de decisão da instituição.
A independência das funções de controlo deve refletir-se na organização e nas linhas de reporte dentro da instituição.
A remuneração dos colaboradores afetos às funções deve depender do desempenho das suas funções e não pode estar relacionada com o desempenho das unidades que supervisionam.
As instituições devem, de acordo com as melhores práticas, organizar o seu sistema de controlo interno em três linhas de defesa, nos seguintes termos:
1.ª linha: negócio;
2.ª linha: gestão de risco e conformidade (compliance);
3.ª linha: auditoria interna.
O risco de uma determinada transação é assumido pela instituição através da linha de negócio. Por essa razão, compete à linha de negócio defender a instituição da assunção de riscos não devidamente mitigados e em desacordo com as regras institucionalizadas para a assunção de risco.
As funções de gestão de risco e de compliance, na segunda linha de defesa, devem desenvolver as metodologias utilizadas para a gestão dos riscos inerentes à atividade da instituição. Devem ter uma intervenção significativa na análise e na decisão quanto à assunção de risco em certas transações e à definição do perfil de risco, da apetência pelo risco e da tolerância ao risco da instituição.
A auditoria interna, enquanto terceira linha de defesa, deve assegurar que as demais funções dentro da instituição funcionam de acordo com o esperado. Deve exercer as suas funções de forma totalmente independente de quaisquer outras dentro da instituição. É responsabilidade das instituições assegurar que os contributos da auditoria interna são devidamente analisados e que é desenvolvido um plano de ação para, efetivamente, colmatar eventuais falhas identificadas.
Os responsáveis pelas funções de gestão de risco, de compliance e de auditoria interna são legalmente qualificados como titulares de funções essenciais e, como tal, estão sujeitos a critérios de adequação.
Compete às instituições garantir que os responsáveis pelas funções de gestão de risco, de compliance e de auditoria interna cumprem, a cada momento, os requisitos de adequação aplicáveis.
Em instituições de crédito categorizadas como outras instituições de importância sistémica (O-SII), a adequação dos responsáveis pela função de gestão de riscos, de compliance e de auditoria interna é objeto de autorização para o exercício de funções pela autoridade de supervisão competente, em momento anterior ao início de funções.
Além das três linhas de defesa tradicionalmente identificadas, outras entidades dentro e fora da instituição devem agir como ‘linha de defesa’.
As funções de administração e supervisão devem intervir quer no sentido de assegurarem a existência de uma forte cultura de risco, quer no sentido de assegurarem que, em transações concretas, o risco decorrente das transações em causa se encontra a ser adequadamente gerido, dentro dos parâmetros institucionalmente definidos para o efeito.
O revisor oficial de contas externo aos órgãos sociais da instituição intervém como uma linha de defesa adicional, atendendo às suas funções, essencialmente, de fiscalização contabilística, incluindo no âmbito do relatório de controlo interno.
O Banco de Portugal intervém enquanto última linha de defesa, monitorizando e promovendo o cumprimento de regras prudenciais, ao nível financeiro e ao nível das pessoas, estruturas de incentivos, estruturas de governo, sistemas e processos.
A intervenção do Banco de Portugal não exime a instituição da responsabilidade de assegurar uma gestão sã e prudente e do cumprimento das regras prudenciais.
O Banco de Portugal mantém contactos regulares com as funções de controlo interno da instituição e com os auditores externos. É responsabilidade das instituições e dos auditores externos cooperarem com o supervisor no exercício das suas funções, fornecendo, para o efeito, informação completa, clara e atempada.
Os revisores oficiais de contas que prestem serviços a uma instituição de crédito ou a uma sociedade financeira são obrigados a comunicar ao Banco de Portugal, com a maior brevidade:
- Os factos ou decisões respeitantes a essa entidade de que tenham conhecimento no exercício das suas funções;
- Os factos ou decisões de que tenham conhecimento no exercício de funções idênticas, mas exercidas em empresa que mantenha com a instituição onde tais funções são exercidas uma relação estreita.
Os factos em causa devem ser comunicados ao Banco de Portugal quando sejam suscetíveis de:
- Constituir uma infração grave às normas, legais ou regulamentares, que estabeleçam as condições de autorização ou que regulem de modo específico o exercício da atividade das instituições;
- Afetar a continuidade da exploração da instituição;
- Determinar a recusa da certificação das contas ou a emissão de reservas.
O dever de prestação de informações prevalece sobre quaisquer restrições à divulgação de informações legal ou contratualmente previstas. O cumprimento deste dever não envolve nenhuma responsabilidade para o revisor oficial de contas.
O Banco de Portugal monitoriza os fluxos de informação e a qualidade dos serviços prestados pelos revisores oficiais de contas, solicitando, quando necessário, esclarecimentos sobre matérias da sua competência.
Não compete ao Banco de Portugal autorizar o exercício de funções de revisores oficiais de contas ou de sociedades de revisores oficiais de contas que não integrem o órgão de fiscalização das instituições.
Os grupos financeiros são organizados de forma transparente, evitando estruturas complexas e opacas. Os órgãos de administração e de fiscalização da empresa-mãe e das demais entidades do grupo devem conhecer e compreender cabalmente a estrutura do grupo, incluindo a relevância, o objeto e os riscos relativos a cada uma das entidades que o integram.
Compete às empresas-mãe assegurar o cabal cumprimento das regras prudenciais, de entre as quais as regras relativas aos sistemas de governo e de controlo interno, em todas as entidades do grupo, incluindo, na medida do legalmente admissível, fora da União Europeia.
As instituições devem remeter anualmente ao Banco de Portugal um relatório de autoavaliação sobre a adequação e eficácia da cultura organizacional em vigor na instituição e sobre os seus sistemas de governo e controlo interno. Devem também remeter um relatório sobre participação de irregularidades e, no caso das instituições de crédito e empresas de investimento, devem reportar o universo de colaboradores que têm impacto material no seu perfil de risco.
A empresa-mãe do grupo deve remeter anualmente ao Banco de Portugal um relatório de autoavaliação sobre o sistema de controlo interno do grupo.
Os referidos documentos têm de ser reportados até 31 de dezembro de cada ano e conter a totalidade da informação prevista no Aviso do Banco de Portugal n.º 3/2020 e na Instrução n.º 18/2020.
É responsabilidade da instituição ter um processo robusto de reporte, que lhe permita prestar informação verdadeira, correta, completa, atualizada, coerente e fidedigna.
As instituições devem assegurar que o relatório de autoavaliação e demais documentos a reportar nos termos do Aviso e da Instrução resultam de uma análise substancial e concreta dos temas tratados e que constituem uma efetiva oportunidade de reflexão tendente à melhoria da sua organização e funcionamento.
O tratamento inadequado da informação a reportar ao Banco de Portugal pode indiciar que essa informação não está a ser devidamente utilizada pela instituição para identificar e mitigar riscos inerentes à sua atividade.
Falhas na análise e no processamento de informação para reporte constituem uma fonte de risco para a instituição e podem, no limite, justificar a intervenção do Banco de Portugal.
Os relatórios de autoavaliação devem incluir avaliações dos órgãos de administração e de fiscalização, nos termos previstos no Aviso do Banco de Portugal n.º 3/2020. Estas avaliações devem conter uma análise cabal da informação solicitada e tomar posição clara e completa, pela positiva, sobre a informação. Não devem, portanto, resumir-se a uma mera alegação de conformidade ou não conformidade.
As instituições devem divulgar através do seu sítio na internet informação que demonstre o cumprimento das normas relativas ao governo societário.