Publicado no DOU em 18 out 2021
Dispõe sobre o Sistema Integrado de Gestão de Riscos da Comissão de Valores Mobiliários e revoga a Deliberação CVM nº 757, de 24 de novembro de 2016.
O Presidente da Comissão de Valores Mobiliários - CVM torna público que o Colegiado, em reunião realizada em 16 de setembro de 2021, nos termos do art. 8º, I da Lei nº 6.385, de 7 de dezembro de 1976, tendo em vista o disposto no Decreto nº 9.203, de 22 de novembro de 2017, na Resolução CMN nº 3.427, de 21 de dezembro de 2006, na Resolução CVM nº 24, de 5 de março de 2021, na Resolução CVM nº 52, de 31 de agosto de 2021, e
Considerando ainda os conceitos e princípios da norma ISO 31000, aprovou a seguinte Resolução:
CAPÍTULO I ÂMBITO E FINALIDADE
Art. 1º Esta Resolução dispõe sobre o Sistema Integrado de Gestão de Riscos ("SGR") da CVM, que disciplina e consolida o regime aplicável às estruturas internas de gerenciamento de riscos, incluindo atividades de supervisão e fiscalização da Autarquia.
Art. 2º O SGR tem como objetivo assegurar o cumprimento dos mandatos legais da Autarquia fixados na Lei nº 6.385, de 7 de dezembro de 1976, por meio de processos que visem a identificar, analisar, avaliar e tratar os riscos definidos e classificados nos termos desta Resolução.
Art. 3º Para fins desta Resolução, risco significa todo evento ou série de eventos previamente identificado cuja possível ocorrência represente uma ameaça ao cumprimento dos mandatos legais da Autarquia.
Art. 4º Os riscos tratados nesta Resolução possuem as seguintes naturezas:
I - risco econômico: aquele que se manifesta externamente à CVM, associado a eventos que possam afetar a estrutura e o funcionamento do mercado de valores mobiliários nos termos do art. 2º da Resolução CMN nº 3.427, de 21 de dezembro de 2006, incluindo atividades, processos, produtos, serviços, mercados e respectivos participantes regulados pela CVM;
II - risco operacional: aquele que se manifesta internamente à CVM, decorrente de eventos relacionados a falhas de sistema, falhas de gerenciamento, falhas de controles e erros humanos associados a processos e recursos operacionais da CVM; e
III - risco à integridade: aquele que decorre de eventos relacionados a corrupção, fraudes, irregularidades ou desvios éticos e de conduta, que possam comprometer os valores e padrões preconizados pela CVM e a realização de seus objetivos.
Art. 5º O SGR é composto pelo Comitê de Governança e Gestão de Riscos ("CGR") e por todos os componentes organizacionais com responsabilidade no planejamento e na implementação das ações no âmbito do escopo de atuação do CGR.
Art. 6º A gestão de riscos no SGR abrange as etapas de identificação e análise, de avaliação, e de tratamento e monitoramento, de acordo com as seguintes definições:
I - identificação de riscos: consiste em encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que a CVM alcance seus objetivos;
II - análise de riscos: consiste em compreender a natureza do risco e suas características, incluindo o nível de riscos;
III - avaliação de riscos: é a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar em que se faz necessária alguma ação adicional;
IV - classificação de riscos: é a ordenação dos eventos de risco e grupos de regulados a partir do cálculo de sua probabilidade e impacto;
V - probabilidade: é a chance de ocorrência de um ou mais eventos de risco identificados;
VI - impacto: é a consequência prevista caso o evento de risco se materialize;
VII - matriz de risco: é a tabela em que é apresentada a classificação dos riscos mapeados, orientada por duas dimensões: probabilidade e impacto;
VIII - tratamento de riscos: é a seleção e a implantação das opções para abordar os riscos mapeados;
IX - monitoramento de riscos: é a atividade de acompanhamento dos riscos mapeados, tendo como objetivo assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo de gestão de riscos; e
X - catálogo de riscos organizacionais: é o conjunto de todos os riscos da CVM mapeados pela Assessoria de Análise Econômica e Gestão de Riscos - ASA.
Art. 7º Independentemente da natureza, os riscos devem ser avaliados conforme o seu grau de severidade, levando-se em consideração, conjuntamente, a probabilidade de sua materialização e o nível de impacto sobre o cumprimento dos mandatos legais da Autarquia, conforme representado na matriz de risco da CVM.
Parágrafo único. O grau de severidade e a percepção de riscos previstos no caput devem determinar a urgência das ações necessárias ao seu adequado gerenciamento, resultando na seguinte avaliação:
I - Risco Prioritário: risco com elevado grau de severidade, acima do limite máximo de tolerância definido pelo CGR, com potencial de gerar danos substanciais ao cumprimento de ao menos um mandato legal, requerendo a adoção de ações de curto e médio prazos para mitigação ou eliminação do risco, a ser tratado no âmbito do Plano Bienal de Supervisão Baseado em Risco ("Plano Bienal de SBR") e acompanhado diretamente pelo CGR;
II - Risco Alto: risco com alto grau de severidade, acima do limite máximo de tolerância definido pelo CGR e abaixo dos riscos classificados como prioritários, com potencial de afetar o cumprimento pela CVM de seus mandatos legais, requerendo a adoção de ações de tratamento de curto e médio prazos;
III - Risco Médio: risco com médio grau de severidade, com potencial de afetar o cumprimento pela CVM de seus mandatos legais, requerendo o seu monitoramento e a eventual adoção de ações de mitigação ou eliminação do risco, de seus efeitos ou causas; e
IV - Risco Baixo: risco com baixo grau de severidade, com baixo potencial de afetar o cumprimento pela CVM de seus mandatos legais, não priorizado na eventual adoção de ações de tratamento de curto e médio prazos.
Seção I Comitê de Governança e Gestão de Riscos - CGR
Art. 8º Em complemento ao disposto no Regimento Interno da CVM, compete ao CGR a gestão estratégica de riscos da CVM por meio do exercício das seguintes atividades:
I - deliberar acerca do limite máximo de tolerância ao risco da organização, conforme proposto pela ASA;
II - aprovar o Plano Bienal de SBR e o Relatório Anual de Monitoramento de Riscos;
III - deliberar sobre propostas que impliquem posicionamento relevante da CVM relativas a riscos que sejam objeto de definições no Financial Stability Board ("FSB"), na Organização Internacional das Comissões de Valores - OICV/IOSCO e nos demais fóruns internacionais dos quais a CVM participe;
IV - aprovar as revisões e atualizações no SGR;
V - aprovar o plano de trabalho da Superintendência de Supervisão de Riscos Estratégicos - SSR; e
VI - aprovar e acompanhar a execução das ações no âmbito da Avaliação Setorial de Risco (ASR) de Lavagem de Dinheiro, do Financiamento do Terrorismo e do Financiamento da Proliferação de Armas de Destruição em Massa (LD/FTP) da CVM.
Art. 9º O CGR deve se reunir ordinariamente em periodicidade mínima trimestral e, extraordinariamente, por convocação do PTE, ou a pedido de quaisquer de seus membros, decidindo por maioria simples.
Parágrafo único. O CGR deve convidar para suas reuniões os titulares das Superintendências afetas ao tema a ser discutido, bem como pode, a seu critério, convidar outros servidores da CVM ou especialistas externos que possam contribuir para as deliberações.
Art. 10. As reuniões ordinárias e extraordinárias do CGR somente podem ser instauradas com quórum mínimo de 5 (cinco) membros, dentre os quais, obrigatoriamente, o Presidente e dois Diretores.
Parágrafo único. A presença do Presidente e dos Diretores prevista no caput deste artigo pode ser suprida pela participação de seus respectivos substitutos legais, nos termos do Decreto nº 6.382, de 27 de fevereiro de 2008.
Art. 11. À secretaria operacional do CGR compete:
I - convocar as reuniões ordinárias do CGR, lavrando atas, redigindo deliberações, ofícios, comunicações e encaminhando documentação; e
II - propor a pauta das reuniões ordinárias do CGR a partir de prévio levantamento de sugestões feitas junto aos membros do comitê e demais Superintendências da CVM.
Seção II Comitê Geral de Superintendentes - CGS
Art. 12. Em complemento ao disposto no Regimento Interno da CVM, semestralmente o CGS deve se reunir a fim de acompanhar junto às superintendências as ações de tratamento e monitoramento dos riscos econômicos classificados como Riscos Altos sob a responsabilidade das áreas técnicas.
Parágrafo único. Quando o CGS verificar a necessidade de elevar a classificação de riscos sob seu acompanhamento, de Risco Alto para Risco Prioritário, o assunto deve ser pautado em reunião do CGR.
Seção III Assessoria de Análise Econômica e Gestão de Riscos - ASA
Art. 13. Compete à ASA, no âmbito do SGR:
I - assegurar tempestivamente, junto aos demais componentes organizacionais da CVM, a identificação, análise e avaliação dos riscos, responsabilizando-se pela consolidação e custódia da informação no catálogo de riscos organizacionais;
II - propor o calendário anual de reuniões do CGR;
III - propor ao CGR a fixação do limite máximo de tolerância ao risco da organização;
IV - promover junto aos demais componentes organizacionais da CVM, com auxílio da Superintendência de Planejamento e Inovação - SPL, a apresentação tempestiva de propostas de tratamento para os Riscos Prioritários, avaliar sua adequação, e, quando for o caso, propor a sua exclusão ou alteração;
V - coordenar a apresentação ao CGR dos resultados dos planos de ação para tratamento dos riscos;
VI - executar as atribuições conferidas no gerenciamento de Riscos Prioritários;
VII - propor, quando cabível, indicadores para balizar a mensuração dos riscos identificados nos termos do art. 17, bem como registrar e acompanhar a evolução histórica dos planos de ação de acordo com estes indicadores;
VIII - propor, quando cabível, os indicadores de monitoramento que serão aplicados na identificação dos Riscos Operacionais da CVM;
IX - encaminhar à SPL, após aprovação do CGR, o mapeamento de riscos econômicos, operacionais à integridade, bem como o inteiro teor das propostas aprovadas pelo CGR para o Plano Bienal de SBR; e
X - desempenhar a função de Unidade Gestora da Integridade (UGI) perante os órgãos externos, nos termos da Portaria CGU nº 57, de 4 de janeiro de 2019.
§ 1º No desenvolvimento das atividades referidas nos incisos I, III, IV, VII, VIII, e IX do caput deste artigo, a ASA deve interagir com as Superintendências afetas, solicitando, sempre que houver, a apresentação de suas análises e proposições.
§ 2º A ASA é responsável por relatar ao CGR os temas previstos no art. 8º, podendo solicitar que o relato seja realizado diretamente pelas Superintendências sempre que couber, sem prejuízo de outros pontos que venham a ser solicitados e aprovados pelo CGR.
Seção IV Superintendência de Planejamento e Inovação - SPL
Art. 14. Compete à SPL, no âmbito do SGR, a elaboração e o monitoramento do Plano Bienal de SBR, bem como do Relatório Anual referido no art. 32 desta Resolução.
Art. 15. Ao coordenador do Plano Bienal de SBR compete:
I - organizar as atividades do Plano Bienal de SBR;
II - receber e organizar os eventos de risco prioritários aprovados pelo CGR para comporem o Plano Bienal de SBR de acordo com suas diretrizes;
III - elaborar o Plano Bienal de SBR, nos termos dos art. 26;
IV - elaborar o Relatório Anual, nos termos do art. 32; e
V - realizar as consultas e requerimentos de informação às Superintendências da CVM visando à elaboração do Plano Bienal de SBR e do Relatório Anual.
Seção V Superintendência de Supervisão de Riscos Estratégicos - SSR
Art. 16. A SSR deve apresentar ao CGR, semestralmente, o andamento de seu plano de trabalho, previamente validado em reunião do comitê.
CAPÍTULO IV IDENTIFICAÇÃO E ANÁLISE DE RISCOS
Art. 17. A etapa de identificação e análise de riscos é conduzida pela ASA.
§ 1º A identificação de potenciais riscos é responsabilidade de todos os componentes organizacionais e servidores da CVM, que devem comunicar à ASA sempre que observar um novo risco no âmbito de suas atribuições.
§ 2º Todos os potenciais riscos altos ou prioritários identificados devem ser submetidos ao CGR.
§ 3º A ASA deve disponibilizar um canal para comunicação dos potenciais riscos e apoio no processo de identificação.
Art. 18. A ASA é a responsável por estimar o cenário econômico que dá suporte à identificação dos riscos econômicos.
§ 1º O cenário econômico estimado pela ASA deve ser compartilhado com as demais superintendências participantes do Plano Bienal de SBR que apoiarão a ASA na etapa de identificação dos riscos.
§ 2º A identificação e análise dos riscos à integridade conta com a colaboração direta de todas as instâncias de integridade na CVM, conforme disposto no Plano de Integridade da CVM ("Íntegra").
§ 3º A identificação dos riscos à integridade pode utilizar as referências e orientações produzidas pelo Comitê de Riscos, Transparência, Controle e Integridade ("CRTCI"), do Ministério da Economia.
§ 4º A identificação dos riscos à integridade pode ainda seguir as recomendações dos órgãos de controle interno ou externo.
Art. 19. As etapas de identificação e análise de riscos devem ser repetidas e atualizadas pela ASA, com o intervalo de um ano.
CAPÍTULO V AVALIAÇÃO E CLASSIFICAÇÃO DE RISCOS
Art. 20. A etapa de classificação e avaliação dos riscos deve ser conduzida pela ASA junto às superintendências e submetido ao CGR.
§ 1º Caso alguma superintendência observe qualquer alteração no grau de severidade de um risco, seja em razão da sua probabilidade de ocorrência, seja em razão do impacto motivado por essa ocorrência, deve comunicar à ASA para que seja atualizado o catálogo de riscos.
§ 2º O resultado da classificação de riscos é a obtenção da matriz de riscos da CVM, a partir do trabalho de avaliação de riscos.
CAPÍTULO VI TRATAMENTO E MONITORAMENTO DE RISCOS
Art. 21. A proposição das ações de tratamento de riscos no âmbito do SBR deve ser realizada pelas áreas elencadas no art. 28.
Parágrafo único. A SPL deve oferecer suporte para os componentes organizacionais no planejamento das ações de tratamento mencionadas no caput.
Art. 22. Os riscos econômicos classificados como Prioritário devem integrar o Plano Bienal de SBR, o Plano de Trabalho das Unidades e ser acompanhados diretamente pelo CGR.
Art. 23. Os riscos econômicos classificados como Alto devem integrar o Plano de Trabalho das Unidades e ser acompanhados diretamente pelo CGS.
Art. 24. Os riscos econômicos classificados como Médio ou Baixo devem ser tratados e monitorados internamente pela superintendência responsável por sua supervisão.
Art. 25. O tratamento dos riscos operacionais e à integridade deve ser definido pelo CGR tendo por base os subsídios dados pela ASA e pela SPL.
§ 1º O monitoramento dos riscos operacionais deve ocorrer no âmbito do CGR.
§ 2º A SPL pode oferecer suporte para os componentes organizacionais nas ações mencionadas no caput.
Art. 26. O Plano Bienal de SBR deve definir as prioridades de supervisão e de fiscalização a serem observadas pela CVM no período de 2 (dois) anos contados do início de sua vigência.
Art. 27. As atividades de supervisão e fiscalização do mercado de valores mobiliários devem ser executadas de acordo com o Plano Bienal de SBR e os Planos de Trabalho das Unidades, sem prejuízo dos deveres legais impostos à CVM.
Art. 28. A elaboração do Plano Bienal de SBR deve ser coordenada pela SPL, de acordo com a classificação de riscos enviada pela ASA após a devida aprovação no CGR, e em conjunto com as seguintes áreas:
I - Superintendência de Relações com Empresas - SEP;
II - Superintendência de Supervisão de Investidores Institucionais - SIN;
III - Superintendência de Relações com o Mercado e Intermediários - SMI;
IV - Superintendência de Normas Contábeis e de Auditoria - SNC;
V - Superintendência de Registro de Valores Mobiliários - SRE; e
VI - Superintendência de Supervisão de Securitização - SSE.
Art. 29. No Plano Bienal de SBR devem constar, obrigatoriamente, e por Superintendência, além da descrição dos mandatos legais da CVM, as seguintes informações:
I - os eventos de riscos, análises e justificativas aprovadas pelo CGR para a adoção das prioridades de supervisão e fiscalização que comporão o plano, tendo em vista a persecução dos mandatos legais da CVM;
II - prioridades de supervisão e de fiscalização aprovadas pelo CGR a serem adotadas pela CVM durante o biênio para o tratamento de cada um dos eventos de risco identificados na forma do inciso I, incluindo:
a) descrição das ações específicas a serem desenvolvidas para o tratamento dos referidos eventos de risco; e
b) análise e justificativa para a adoção de cada uma das ações específicas referidas na alínea "a"; e
III - eventuais necessidades de recursos materiais e humanos, ou outras dificuldades de qualquer natureza, que tenham sido identificadas como limitadores da implantação do Plano Bienal anterior, ou que possam ser identificadas como limitadores à sua própria execução.
§ 1º Para fins do disposto no inciso I, deve ser levada em consideração uma classificação dos entes supervisionados por número de clientes ou investidores, volume de operações, capital social, capitalização de mercado, ativos sob gestão, dentre outros parâmetros a serem indicados pelas Superintendências, como resultado da experiência acumulada na supervisão dos respectivos entes regulados.
§ 2º Ao submeter a proposta de Plano Bienal de SBR ao CGR, a SPL deve fazer um relato sobre a análise e a classificação dos eventos de risco identificados, contendo informações acerca de sua probabilidade de ocorrência, impacto potencial e nível de risco.
§ 3º A execução do Plano Bienal pelas Superintendências referidas no art. 16 e incisos do art. 28 deve constar do Plano de Auditoria Interna (PAINT) desenvolvido e implementado pela Auditoria Interna - AUD.
Art. 30. O Plano Bienal de SBR deve ser aprovado pelo CGR, até o final do mês de dezembro do ano imediatamente anterior ao seu início, podendo determinar a inclusão das informações que julgue faltar.
Art. 31. O Plano Bienal de SBR aprovado pelo CGR deve ser levado ao conhecimento do Conselho Monetário Nacional - CMN a cada 2 (dois) anos, até o final do mês de dezembro, para vigorar nos 2 (dois) anos civis seguintes.
Parágrafo único. Uma vez levado ao conhecimento do CMN, o Plano Bienal de SBR, bem como suas atualizações, tornar-se-á público, e deve ser disponibilizado no sítio da CVM na rede mundial de computadores.
Seção II Relatório Anual de Monitoramento de Riscos
Art. 32. O Relatório Anual de Monitoramento de Riscos, denominado Relatório Anual, deve relatar a atuação da CVM no que se refere aos riscos identificados e às prioridades estabelecidas pelo CGR no Plano Bienal de SBR em vigor.
Parágrafo único. A forma e o conteúdo do Relatório Anual devem ser propostos pela SPL, ouvida as demais superintendências participantes do Plano Bienal de SBR, que fornecerão também os subsídios para a sua elaboração.
Art. 33. O Relatório Anual deve ser aprovado pelo CGR, que pode determinar a inclusão das informações que julgue faltar.
Art. 34. O Relatório Anual aprovado pelo CGR deve ser levado ao conhecimento do CMN.
Parágrafo único. Uma vez levado ao conhecimento do CMN, o Relatório Anual tornar-se-á público e deve ser disponibilizado no sítio da CVM na rede mundial de computadores.
CAPÍTULO VII DAS DISPOSIÇÕES FINAIS
Art. 35. Fica revogada a Deliberação CVM nº 757, de 24 de novembro de 2016.
Art. 36. Esta Resolução entra em vigor em 1º de novembro de 2021.
MARCELO BARBOSA
