Circular No.

169/B/2002-DSB/AMCM
(Data: 21/11/2002)

DIRECTIVAS PARA O CONTROLE INTERNO DAS

INSTITUIÇÕES DE CRÉDITO AUTORIZADAS

A Autoridade Monetária de Macau (AMCM), com os poderes conferidos pelo artigo 9º

dos seus Estatutos, aprovados pelo Decreto-Lei nº 14/96/M, de 11 de Março, e pelo artigo
6º do Regime Jurídico do Sistema Financeiro de Macau (RJSF) , aprovado pelo Decreto-
Lei Nº 32/93/M, de 5 de Julho, estabelece o seguinte:

1. APRESENTAÇÃO

1.1 Um sistema eficiente de controle interno é uma componente fundamental da

gestão bancária e o alicerce para as operações seguras e sadias das organizações bancárias.
Controles internos fracos ou ineficazes tem provocado prejuízos em numerosos bancos e
contribuído para o encerramento de outros em todo o mundo. Alguns dos casos citados
poderiam ter sido evitados ou descobertos através de mecanismos de controle eficazes
antes que os prejuízos tivessem sido realmente sofridos pelos bancos. Tendo em vista a
crescente importância de um sistema de controle interno eficaz em garantir que as
operacões dos bancos se mantenham seguras e prudentes, a AMCM resolveu publicar
estas Directivas.

1.2 Estas directivas destinam-se a todas as instituições de crédito autorizadas

(doravante referidas como “bancos”), tanto as constituídas localmente como as sucursais
de bancos sediados no estrangeiro. Embora a AMCM reconheça que nem todas as
instituições possam implementar todos os aspectos destas directivas, os bancos serão
encorajados e obrigados a criar, manter e operar um sistema eficaz de controle interno
apropriado à dimensão do banco e à natureza, ao âmbito, e ao risco da sua actividade.
Contudo, embora seja provável que os bancos de menor dimensão sejam menos formais e
menos estruturados, os seus sistemas de controle interno devem ser tão eficazes quanto os
dos bancos mais complexos e de maior dimensão.

A AMCM fará, com base nestas directivas, a monitorização estreita bem como a
avaliação da qualidade e eficácia dos sistemas de controle interno dos bancos.

2. OBJECTIVOS DO CONTROLE INTERNO

Não obstante as rápidas alterações da indústria bancária, o conceito fundamental
subjacente ao controle interno eficaz permanece o mesmo. Os controles internos

1
destinam-se a assegurar que os bancos alcancem as suas metas bem como os seus
objectivos de rendibilidade a longo prazo de um modo seguro, prudente e controlável.
Mais concretamente, um sistema eficaz de controle interno podem assegurar que os
bancos alcancem os objectivos a seguir descritos:

• As operações bancárias sejam eficientes e eficazes.

• O registo das transações seja exacto.
• Os relatórios financeiros e os de gestão sejam fidedignos e completos.
• Os sistemas de controle de riscos sejam eficazes.
• O banco respeite as leis e os regulamentos, bem como as políticas e os
procedimentos internos vigentes.

3. PRINCÍPIOS DO CONTROLE INTERNO

O banco, ao criar o seu sistema de controle interno, deverá ter em atenção os princípios
abaixo indicados:

3.1 Eficaz e Eficiente. O controle interno deve ser aplicado consistentemente e bem
compreendido pelos trabalhadores do banco a fim de permitir que as políticas do
conselho de administração e da direcção sejam implementadas de maneira eficaz e
eficiente. Entretanto, o controle interno não deverá tolerar quaisquer actos de má gestão
tanto da administração como dos principais directores.

3.2 Prudente. O cerne do controle interno é efectivamente o de mitigar os riscos

associadas à actividade bancária. A prudência deve ter sempre a maior prioridade na
delineação de um sistema de controle interno.

3.3 Completo. Os princípios e procedimentos de controle interno devem abranger

todos os aspectos da actividade e operação bancária.

3.4 Oportuno. O sistema de controle interno deve ser aplicado desde o primeiro dia
de actividade do banco com a eficácia necessária para despoletar sinais de alerta
permitindo que os corpos gerentes tomem acções correctivas para reduzir e evitar riscos
potenciais.

3.5 Independente. A função de avaliar a eficácia do sistema de controle interno deve

estar separada do da formulação e execução do mesmo. A qualidade e a adequabilidade
dos controles internos devem ser avaliados de forma independente.

4. COMPONENTES DO CONTROLE INTERNO

O sistema de controle interno é composto de cinco elementos críticos, a saber:

2
 • Um ambiente de controle;
• Reconhecimento e avaliação do risco;
• Actividades de controle;
• Sistemas de contabilidade, informação e de comunicação, e
• Monitorização e correcção.

4.1 AMBIENTE DE CONTROLE

Um ambiente de controle reflecte o compromisso do conselho de administração e da

direcção para com o sistema de controle interno. O citado ambiente fornece a disciplina e
a estrutura necessária para o sistema de controle. Os elementos de um ambiente de
controle incluem:

• A estrutura organizacional da instituição;

• Filosofia de gestão e estilo operacional;
• A integridade, a ética e a competência do quadro de pessoal;
• As influências externas que afectam as operações bancárias e as práticas da
gestão de risco, tais como, auditoria independente.
• A atenção e a direcção fornecidas pelo conselho de administração e as suas
comissões;
• A eficácia da política de recursos humanos e procedimentos associados.

4.1.1 O conselho de administração deve possuir a responsabilidade para a

formulação, aprovação e revisão periódica das estratégias negociais e principais políticas
do banco, compreendendo os maiores riscos associados à actividade bancária,
estabelecendo limites aceitáveis para os mesmos e assegurar que os membros da
direcção tomem as medidas essenciais para identificar, medir, monitorizar e controlar os
riscos: aprovar a estrutura organizacional; e definir claramente as autoridades e
responsabilidades, utilizando eficazmente o trabalho produzido pelos auditores internos e
externos, como reconhecimento da função importante de controle que eles fornecem.

O conselho de administração deve debater periodicamente com a direcção assuntos

relacionados com a eficácia do sistema de controle; rever oportunamente os
procedimentos e resultados do controle interno; assegurar, de imediato, o seguimento
pronto pela direcção das recomendações e preocupações por pelos depositários tais como
reguladores, accionistas e clientes sobre deficiências de controle interno; e rever
periodicamente a adequabilidade da estratégia do banco e dos seus limites de risco.

4.1.2 Os gerentes principais devem ter a responsabilidade de fazer executar as

directivas emanadas do conselho de administração, incluindo o da implementação das
estratégias e políticas.

Os gerentes principais devem manter uma estrutura organizacional que imputam, com
toda a clareza, as relações de responsabilidade, de autoridade e de comunicabilidade. A

3
distribuição de funções e de responsabilidades deve assegurar de que não existem hiatos
nas linhas de comunicação e de que o nível de controle de gestão seja extensível a todas
as camadas do banco e às suas actividades diversas. A delegação é uma parte essencial da
gestão. Ë importante que os principais gerentes supervisionem aqueles a quem eles
delegaram essas responsabilidades com o propósito de asseguram o seu exercício efectivo
e próprio.

Os gerentes principais devem ser os responsáveis pela elaboração de procedimentos que

identifiquem, meçam, monitorizem e controlem os riscos, e de outros procedimentos que
recrutem, remunerem, motivem e recompensem trabalhadores capazes com o fim de
atrair os mais qualificados a permanecerem no banco.

4.1.3 Um dos elementos essenciais para o sistema de controle interno é o de haver

uma forte cultura de controle. O conselho de administração e os principais gerentes são
responsáveis pela promoção de elevados padrões de ética e de integridade, e para o
estabelecimento de uma cultura dentro da organização que realce e demonstre a todas as
camadas de trabalhadores a importância dos controles internos. Todos os trabalhadores de
uma organização bancária necessitam de compreender o seu papel no processo de
controle interno e de participarem total e activamente nesse mesmo processo.

Ao realçarem os valores éticos, os bancos deverão evitar políticas e práticas que possam
inadvertidamente fornecer incentivos ou tentações para a prática de actividades
inapropriadas. As metas a atingir bem como outros resultados operacionais não deverão
ser alcançados em detrimento dos riscos de longo prazo.

4.2 Reconhecimento e avaliação do risco

O reconhecimento e a avaliação do risco é o processo pela qual o conselho de

administração e a direcção utiliza para identificar e analisar os riscos que poderão
impedir o banco de alcançar os objectivos planeados. A avaliação deverá ajudar a
determinar quais os riscos, como deverão ser geridos, e quais os controles necessários. Os
riscos poderão surgir ou de se alterarem consoante os factores a seguir indicados:

• Mudança no ambiente operacional do banco;

• Pessoal novo;
• Sistemas de informação novos ou renovados;
• Crescimento rápido;
• Nova tecnologia;
• Actividades, produtos ou negócios novos ou aumentados;
• Fusões ou outras reestruturações da sociedade, e
• Alterações nos padrões contabilísticos.

4.2.1 Uma avaliação do risco deve identificar e sopesar os factores internos e

externos que poderão afectar negativamente os objectivos planeados pelo banco,

4
nomeadamente os de execução, de informação e de conformidade. Essa avaliação deve
abranger todos os riscos que o banco enfrenta (tais como, risco do crédito, risco do país e
transferências, risco do mercado, risco da taxa de juro, risco da liquidez, risco
operacional, risco legal e risco reputacional).

4.2.2 A avaliação do risco deve ser efectuada a todos os níveis dos negócios
individuais e sobre um leque largo de actividades. Uma avaliação efectiva do risco é feita
tanto sobre os aspectos mensuráveis como os não-mensuráveis e pondera os custos de
controle contra os benefícios daí provenientes.

4.2.3 A avaliação do risco deve determinar igualmente quais os riscos controláveis

pelo banco daqueles que não o são. Para os riscos controláveis, o banco deve ponderar se
se deve ou não aceitá-los ou qual a extensão que deve ir por forma a mitigar esses riscos
através dos procedimentos de controle. Para os riscos não controláveis, o banco deve
decidir se se aceita o(s) mesmo(s) ou se retira do negócio ou se reduz o nível de
actividade em questão.

4.2.4 Os controles internos poderão ter se ser revistos a fim de poder enfrentar
quaisquer riscos novos ou previamente não controlados. Por exemplo, à medida que vai
havendo inovações financeiras, o banco terá a necessidade de avaliar os novos
instrumentos financeiros e as transacções no mercado e ponderar sobre os riscos
associados com essas actividades.

4.3 Actividades de controle

4.3.1 As actividades de controle incluem as políticas, os procedimentos e as

práticas estabelecidas para ajudar a assegurar os trabalhadores do banco no cumprimento
das directivas emanadas do conselho de administração e da direcção. Essas actividades
ajudam a assegurar que o conselho de administração e a direcção possam gerir e controlar
os riscos que poderiam vir a afectar a gestão operacional do banco ou provocar prejuízos
financeiros. As políticas que governam as actividades de controle devem assegurar que os
directores, gerentes e trabalhadores bancários que executem funções de controle para
além do seu trabalho operacional não estejam em condições de avaliar o seu próprio
trabalho.

As actividades de controle envolvem dois passos típicos:(1) a criação de políticas e

procedimentos de controle; e (2) verificação de que as políticas e procedimentos de
controle estão a ser seguidos em conformidade.

4.3.2 As actividades de controle são aplicadas a diversos níveis organizacionais e

funcionais e incluem:

• Revisões de execução operacional. Essas actividades de controle incluem as

avaliações de riscos e comparações entre a execução financeira actual face aos
orçamentos, previsões, e execuções anteriores bem como as actividades de

5
 controle operacional. Ao executar essas revisões, o banco faz a comparação de
vários conjuntos de dados entre si. O banco utiliza essas comparações para
analisar as execuções reais com as projectadas ou necessárias com o propósito de
identificar as razões dos desvios significantes e para ponderar se se deve ajustar
qualquer actividade específica.

• Processamento de informação. As actividades de controle dos sistemas de

informação podem ser agrupadas de uma forma genérica em duas grandes
categorias: controles gerais e controles de aplicação. Os controles gerais incluem
os sobre as operações do centro de processamento de dados, aquisição e
manutenção do “software” do sistema informático. Esses controles destinam-se
ao sistema central, servidores e estações de trabalho para os utilizadores finais, e
redes internas e externas. Os controles de aplicação destinam-se aos programas
que o banco utiliza no processamento das transações e ajudam a assegurar que as
transações são válidas, devidamente autorizadas e exactas.

• Conformidade com os limites de exposição. O estabelecimento de limites

prudentes sobre a exposição ao risco é um aspecto muito importante da gestão do
risco. Por exemplo, a conformidade com os limites de exposição para mutuários e
terceiros reduz a concentração do risco de crédito do banco e ajuda a diversificar
o seu perfil de risco. Consequentemente, uma faceta importante dos controles
internos é o processo para a revisão da conformidade para com esses limites e o
acompanhamento posterior em casos de inconformidade.

• Controles físicos. De um modo geral estas actividades asseguram a integridade

física dos activos do banco. Estão incluídos nesses activos os confiados à sua
guarda bem como os registos, limitando o acesso aos programas informáticos e
ficheiro de dados, e periodicamente comparando os valores actuais dos activos e
passivos com os registados no controle.

• Aprovações e autorizações. A delegação de autoridade apropriada e/ou

devoluções não devem comprometer as aprovações e autorizações necessárias. A
necessidade da obtenção de aprovação e autorização para transações acima de
alguns limites assegura que a direcção está ciente dessa mesma transação ou
situação a fim de realçar o sistema de responsabilização.

• Verificação e reconciliação. As verificações dos detalhes das transações,

actividades e a produção dos diversos sistemas de processamento e de gestão são
de muita importância para o banco a fim de assegurar a exactidão e a fiabilidade
dos relatórios operacional, financeiro e de gestão. As reconciliações devem ser
efectuadas regularmente a fim de identificar actividades e registos que precisam
de rectificação ou de outro tipo de acção. Consequentemente, quaisquer
resultados excepcionais ou extraordinários fruto dessas reconciliações devem ser
relatadas em tempo oportuno ao nível de gestão apropriado.

6
 • Segregação de funções. Os bancos estabelecem a segregação de funções ao
nomear trabalhadores diferentes para as responsabilidades de autorização de
transações, registo de transações e manutenção da custódia dos activos. Tal
segregação destina-se a tornar impossível que qualquer trabalhador esteja na
situação de, ao mesmo tempo, perpretar e esconder erros ou irregularidades no
decorrer do exercício normal das suas funções. As áreas de conflito potenciais
devem ser identificadas, minimizadas e sujeitas a uma monitorização cuidada e
independente.

4.3.3 As actividades de controle serão mais eficazes se forem consideradas parte

integral, e não apenas mais um acréscimo, das actividades diárias do banco. Não basta à
direcção a simples criação de políticas e procedimentos apropriados para as diversas
actividades e unidades orgânicas do banco. A direcção terá de assegurar regularmente
que todos os sectores do banco estão em conformidade com tias políticas e
procedimentos e determinar se as políticas e procedimentos vigentes continuam
adequadas.

4.4 Sistemas de Contabilidade, Informação e de Comunicação

Os sistemas de contabilidade, informação e de comunicação identificam, recolhem e

trocam informação num formato que permite aos trabalhadores do banco o pleno
exercício das suas responsabilidades. Os sistemas de contabilidade incluem os métodos e
registos que identificam, agregam, analisam, classificam, registam e informam as
transações do banco. Os sistemas de informação produzem relatórios sobre operações,
finanças, gestão de risco e conformidade que permitem ao conselho de administração e
direcção a gestão eficiente do banco. Por último, os sistemas de comunicação fornecem
informação por todo o banco e a terceiros, tais como, autoridades de supervisão,
inspectores bancários, accionistas e clientes.

4.4.1 Um sistema de controle interno eficaz requer a existência de uma gama

adequada e completa de dados contabilísticos, financeiros, operacionais e de
conformidade, bem como de dados sobre o mercado externo acerca de acontecimentos e
condições que são relevantes para o processo da tomada de decisão. A informação deve
ser fidedigna, oportuna, acessível e fornecida de maneira sistemática.

4.4.2 Um sistema eficaz de controle interno requer igualmente a criação e

manutenção de sistemas de informação de gestão que cubram a gama completa das
actividades do banco. Esses sistemas, incluindo aqueles que armazenam e utilizam dados
com formato electrónico, devem ser seguros, monitorizados independentemente e
apoiados por sistemas de contingência adequados.

4.4.3 Um sistema eficaz de controle interno requer canais de comunicação eficazes

a fim de assegurar que todos os trabalhadores compreendam de modo cabal e adiram às
políticas e procedimentos que afectam as suas funções e responsabilidades e que toda e
qualquer informação relevante chegue aos seus destinatários.

7
A direcção deve ser responsável pelo estabelecimento de uma linha de comunicação que
assegure que toda a informação relevante chegue aos trabalhadores correctos, e pela
criação de uma estrutura organizacional que facilite fluxos de informação adequados,
tanto para cima, para baixo, ou horizontalmente pela organização.

4.5 Monitorização e Correcção

Inclui cinco ou mais áreas:

• A eficácia global do sistema de controle interno do banco deve ser monitorizada

de forma contínua. A monitorização contínua pode ter a vantagem de detectar e
corrigir com rapidez as deficiências no sistema, e facilitar a direcção na resolução
atempada dos problemas. Alguns dos riscos mais importantes devem fazer parte
da rotina diária do banco. Entretanto, os auditores externos desempenham um
papel importante na monitorização das políticas e procedimentos internos do
banco. A função do auditor externo nesse campo é considerado, segundo a
AMCM, parte integrante do seu controle de qualidade.

• A auditoria interna deve funcionar independentemente. Os auditores internos

devem reportar-se ao conselho de administração, directamente ou através do
conselho fiscal, de acordo com a estrutura organizacional de cada banco. O
conselho de administração é responsável pelo estabelecimento de condições que
permitam um funcionamento eficaz e monitorização da auditoria, e determina
quão intensiva o processo de auditoria deve ser a fim de testar e monitorizar com
eficácia os controles internos e de assegurar a fiabilidade dos mapas da situação
financeira e relatórios do banco. Um programa de auditoria interna claro e
conciso pode ser uma defesa primordial contra quebras de controle ou tentativas
de fraude ao fornecer avaliações independentes sobre a qualidade e a eficácia do
sistema de controle interno. Dada a natureza importante desta função, a auditoria
interna deve ser preenchida por um quadro de trabalhadores competentes, com
formação apropriada e que possuam um compreensão clara das suas tarefas e
responsabilidades.

• A monitorização da eficácia dos controles internos deve ser efectuada por

trabalhadores de áreas ou sectores diferentes, incluindo a própria função negocial,
auditoria interna e controle financeiro, etc..

• As deficiências do controle interno, quer sejam identificadas pelos canais

negociais, de auditoria interna ou de outros trabalhadores de controle, devem ser
comunicados em devido tempo à respectiva chefia imediata, com os assuntos
mais graves a serem comunicados à direcção e conselho de administração.

• A direcção e/ou respectivas chefias devem corrigir as deficiências identificadas

de modo oportuno. É igualmente importante que o conselho de administração e a
direcção recebam periodicamente relatórios que descrevam todos os assuntos de
controle e criem um sistema que ajude a verificar as fraquezas do controle interno.

8
5. CRIAÇÃO DE ALGUMAS COMISSÕES ESPECIALIZADAS

A AMCM acredita na necessidade do banco criar uma ou mais comissões especializadas

ou de estruturas com funções similares, incluindo:

• Comissão de Auditoria. É importante que a comissão de auditoria reporte

directamente ao conselho de administração. Isso permite um funcionamento
apropriado da gestão empresarial ao fornecer à administração informação não
tendenciosa. A comissão fornece supervisão aos auditores internos e externos do
banco, aprova as suas nomeações e demissões, revê e aprova os parâmetros e a
frequência da auditoria, e assegura que a direcção e chefias tome acções
correctivas atempadas e apropriadas sobre as deficiências do controle, a não
conformidade com as políticas, leis e regulamentos, bem como de outros
problemas identificados pelos auditores.

• Comissão de Gestão de Activos e Passivos. A função mais fundamental desta

comissão é o de supervisionar o risco de mercado do banco e de um modo
particular assegurar que o banco tenha a liquidez suficiente para solver os seus
compromissos. Os membros da comissão devem representar tanto o lado dos
activos bem como o dos passivos do balanço. Incluem, tipicamente, o director-
geral, o director financeiro, o tesoureiro, o director de crédito, e o director
responsável pelos depósitos. Outros membros, da linha do negócio, também
devem ser altamente encorajados.

• Comissão de Gestão de Risco. Fornece a supervisão das actividades da direcção

na gestão do crédito, do mercado, da liquidez, operacional, legal e de outros riscos
do banco. Os membros da comissão devem pertencer às chefias dos principais
ramos de negócio do banco. Representantes de algumas unidades orgânicas
especiais, como por exemplo, administração de crédito, auditoria, são
extremamente importantes.

• Comissão de Compensação. A comissão fornece a supervisão das remunerações

do pessoal da direcção e das chefias bem como de outros trabalhadores chaves e
asseguram uma compensação consistente com a cultura, estratégia, visão e
ambiente de controle do banco. O conselho de administração deve aprovar as
políticas salariais e pacotes relevantes baseadas nas recomendações da comissão.

• Comissão de Nomeação. Fornece uma avaliação importante sobre a eficácia do

conselho e dirige o processo de renovação e substituição dos membro do conselho
de administração. A comissão deve assegurar de que apenas os indivíduos mais
competentes sejam nomeados para o conselho e outros lugares chaves de chefia. É
responsável pelas recomendações ao conselho no que se refere às novas
nomeações de directores e chefias superiores. O conselho deve aprovar as
nomeações com base nas recomendações da comissão.