Regulamenta a política de conformidade para instituições financeiras e outras autorizadas pelo Banco Central.
A Resolução CMN nº 4.595 estrutura a política de conformidade de instituições autorizadas pelo Banco Central.
📌 Exige política compatível com porte, riscos e modelo de negócio.
🏛️ Reforça aprovação, supervisão e responsabilidades da administração.
🧾 Traz relatório anual de conformidade e retenção mínima de cinco anos.
⚠️ O prazo inicial de implementação até 31/12/2017 foi tratado como histórico e encerrado.
A Resolução CMN nº 4.595, de 28 de agosto de 2017, disciplina a política de conformidade, ou compliance, aplicável às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O texto é curto, mas estruturante: ele cria uma obrigação contínua de implementar e manter política de conformidade compatível com o perfil da instituição e transforma a função de conformidade em componente formal da governança, da gestão de riscos, dos reportes à administração e da retenção documental.
O documento deve ser lido como norma autônoma, focada em política, estrutura, responsabilidades e evidências da função de conformidade. A extração foi feita como retrato do documento-fonte original, sem consolidação por alterações posteriores e sem importação de obrigações de outros atos não fornecidos. O pacote, portanto, representa os comandos que nascem da própria Resolução nº 4.595 e os pontos citados ou remetidos expressamente por ela.
O eixo de maior impacto é a combinação entre quatro blocos: política de conformidade compatível com o porte e perfil da instituição; conteúdo mínimo da política; atribuições dos responsáveis pela função de conformidade; e responsabilidades do conselho de administração, ou da diretoria quando inexistente conselho. A norma também impõe guarda documental perante o Banco Central do Brasil e traz um prazo histórico de implementação inicial até 31 de dezembro de 2017.
O art. 1º delimita o escopo: instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O parágrafo único exclui expressamente administradoras de consórcio e instituições de pagamento, que devem observar regulamentação específica do Banco Central no exercício de suas atribuições legais.
Essa delimitação é relevante para produto porque a norma não alcança todo o setor financeiro em sentido econômico amplo. A aplicabilidade decorre do enquadramento como instituição financeira ou outra instituição autorizada a funcionar pelo Banco Central, e não apenas do fato de a empresa atuar com serviços financeiros, tecnologia financeira, criptoativos, meios de pagamento, mercado de capitais ou produtos relacionados. No pacote, a segmentação usa as tags financeiras disponíveis e exclui as categorias expressamente afastadas. Ainda assim, como o texto alcança “demais instituições autorizadas” e o catálogo de tags pode não representar todas as categorias possíveis, há aviso de segmentação no manifest para revisão fina em ambiente de produto.
A Resolução também admite política única por conglomerado ou por sistema cooperativo de crédito. Esse ponto foi tratado como âncora de escopo, e não como requisito autônomo, porque a redação admite uma opção de estruturação, mas não obriga toda instituição a adotar política única. Caso uma instituição use essa faculdade, o conteúdo, aprovação, responsabilidades e evidências da política continuam sujeitos aos demais requisitos.
O art. 2º exige implementar e manter política de conformidade compatível com natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio. O comando é contínuo: não basta aprovar um documento inicial. A instituição deve manter uma política atualizada, proporcional e capaz de sustentar o gerenciamento efetivo do risco de conformidade.
O parágrafo único do art. 2º exige que o risco de conformidade seja gerenciado de forma integrada com os demais riscos incorridos pela instituição, nos termos da regulamentação específica. Esse ponto reforça que compliance deve dialogar com a estrutura de gestão de riscos, fóruns internos, matriz de riscos, controles e fluxos de escalonamento. A norma não identifica no próprio texto qual é o ato específico de gerenciamento de riscos, razão pela qual a referência foi registrada no catálogo como remissão genérica, sem resolver por norma posterior neste pacote.
O art. 5º define o conteúdo mínimo da política. A política deve tratar objetivo e escopo da função de conformidade; divisão clara de responsabilidades; prevenção de conflitos de interesses, especialmente com áreas de negócios; pessoal suficiente, treinado e experiente; posição da unidade específica quando constituída; independência e autoridade; recursos suficientes; livre acesso a informações; canais de comunicação com diretoria, conselho e comitê de auditoria quando houver; e coordenação com gerenciamento de riscos e auditoria interna. Esses incisos foram consolidados em um requisito único porque todos integram o mesmo artefato operacional: a política de conformidade. A validação recomendada é uma matriz que conecte cada inciso à seção correspondente do documento.
A política de conformidade deve ser aprovada pelo conselho de administração. Para cooperativas de crédito, a política deve ser aprovada também pela assembleia geral. Essas exigências são requisitos de governança, não meras formalidades. Elas criam a necessidade de ata, pauta, versão identificada da política, controle de revisões e trilha clara entre texto aprovado e deliberação.
Nas instituições sem conselho de administração, o art. 10 imputa à diretoria as atribuições e responsabilidades previstas na Resolução. Esse ponto evita lacuna de governança e deve aparecer em política, matriz de responsabilidades ou regimento interno. Na prática, aprovações, reportes, garantia de meios e acompanhamento de falhas devem ser direcionados à diretoria quando não houver conselho.
O conselho de administração possui responsabilidades adicionais no art. 9º. Deve assegurar a adequada gestão da política, sua efetividade e continuidade, a comunicação a todos os empregados e prestadores de serviços terceirizados relevantes, a disseminação de padrões de integridade e conduta ética, a tomada de medidas corretivas quando falhas de conformidade forem identificadas e a provisão dos meios necessários ao exercício adequado da função. Esses comandos foram tratados em dois requisitos principais: um para governança, comunicação, cultura e meios; outro para medidas corretivas, porque o tratamento de falhas tem gatilho e evidências próprias.
O art. 6º exige que a unidade responsável pela função de conformidade, quando constituída, esteja integralmente segregada da atividade de auditoria interna. A redação é condicional: se houver unidade específica, ela não pode se confundir com auditoria interna. A instituição deve demonstrar essa separação em organograma, linhas de reporte, descrições de função, matriz de responsabilidades e política.
O art. 8º trata da remuneração dos responsáveis pelas atividades de conformidade. A política de remuneração deve ser determinada independentemente do desempenho das áreas de negócios, de forma a não gerar conflito de interesses. Esse ponto é particularmente importante para evitar incentivo econômico incompatível com uma função que precisa testar, avaliar e reportar falhas relacionadas às próprias áreas de negócios.
A contratação de especialistas, prevista no parágrafo único do art. 7º, foi mantida como ponto de escopo e não virou requisito autônomo. A norma autoriza essa contratação, mas preserva integralmente as atribuições e responsabilidades do conselho. Assim, a contratação de terceiros não elimina governança, supervisão, reporte, aprovação ou retenção exigidos pela Resolução.
O art. 7º é o bloco operacional mais detalhado. Ele estabelece atribuições dos responsáveis pela execução das atividades relacionadas à função de conformidade, independentemente da existência de unidade específica na estrutura organizacional.
A primeira atribuição é testar e avaliar a aderência da instituição ao arcabouço legal, à regulamentação infralegal, às recomendações dos órgãos de supervisão e, quando aplicáveis, aos códigos de ética e de conduta. Esse requisito exige planejamento de testes, metodologia, registros de amostra, conclusão, recomendação e acompanhamento.
A segunda atribuição é prestar suporte ao conselho e à diretoria sobre observância e correta aplicação de normas, recomendações e códigos, mantendo-os informados sobre atualizações relevantes. Essa obrigação tende a envolver informes regulatórios, notas de impacto, apresentações à administração, agendas de atualização e registros de orientação.
A terceira atribuição é auxiliar na informação e capacitação de todos os empregados e prestadores de serviços terceirizados relevantes em assuntos relativos à conformidade. A norma não define frequência, mas a atividade deve ser rastreável por planos, materiais, listas de presença, logs de treinamento, comunicados e trilhas de capacitação.
A quarta atribuição é revisar e acompanhar a solução dos pontos levantados no relatório de descumprimento de dispositivos legais e regulamentares elaborado pelo auditor independente, conforme regulamentação específica. Como o documento-fonte não identifica o ato específico, a referência foi registrada como remissão genérica. Operacionalmente, o requisito pede matriz de pontos, responsáveis, planos de ação e evidências de follow-up.
A quinta atribuição é elaborar relatório, com periodicidade mínima anual, contendo sumário dos resultados das atividades relacionadas à função de conformidade, principais conclusões, recomendações e providências tomadas pela administração. Esse relatório é uma das principais evidências de funcionamento da função de conformidade e foi extraído com recorrência anual normativa.
A sexta atribuição é relatar sistemática e tempestivamente os resultados das atividades de conformidade ao conselho de administração. A norma não fixa uma frequência fechada, por isso não foi criada recorrência normativa para esse item. O controle sugerido propõe rotina de reporte, mas a obrigação em si é definida por sistematicidade e tempestividade, não por data específica.
O art. 11 exige que a instituição mantenha à disposição do Banco Central do Brasil a documentação relativa à política de conformidade aprovada pelo conselho de administração e o relatório anual previsto no art. 7º, V, pelo prazo mínimo de cinco anos.
Foram criados dois requisitos de retenção. O primeiro cobre a documentação da política aprovada, incluindo versões, atas, revisões, matrizes de aderência e documentos correlatos. O segundo cobre o relatório anual da função de conformidade, com prazo mínimo de cinco anos. A separação foi necessária porque apenas o relatório anual recebe prazo de retenção expresso de cinco anos no texto; a documentação da política deve permanecer à disposição, mas sem prazo específico no dispositivo.
As evidências centrais para a norma incluem política de conformidade vigente, atas de aprovação, matriz de conteúdo mínimo, organograma e linhas de reporte, registros de testes de aderência, informes regulatórios à administração, plano de capacitação, matriz de pontos do auditor independente, relatório anual, materiais de reporte ao conselho, cadastro de falhas e planos corretivos, documentação remuneratória e inventário de retenção de relatórios.
O art. 12 determinou que as instituições implementassem a política de conformidade até 31 de dezembro de 2017. Como esse prazo único já se encerrou, o requisito correspondente foi marcado como inativo e encerrado. Ele permanece no pacote por utilidade histórica e de auditoria, não como obrigação operacional recorrente atual.
O art. 14 estabelece vigência na data de publicação. O texto oficial indica publicação no DOU de 30 de agosto de 2017. A vigência geral foi usada para orientar os requisitos ativos, mas não foi repetida como ponto operacional isolado além do mapa de cobertura.
Alguns dispositivos foram preservados como documentoPontos sem virar requisito. O art. 1º e seu parágrafo único foram tratados como escopo e exceção. O art. 3º foi tratado como faculdade de política única por conglomerado ou sistema cooperativo, sem obrigação autônoma para instituições que não adotem esse arranjo. O parágrafo único do art. 7º, sobre contratação de especialistas, foi tratado como autorização e limite de responsabilidade, sem criar obrigação de contratação. O art. 13 foi classificado como comando interno do regulador, pois autoriza o Banco Central a baixar normas e medidas, inclusive determinar unidade específica ou estabelecer procedimentos simplificados, mas não impõe por si só uma conduta empresarial imediata sem ato posterior. O art. 14 foi tratado como vigência geral.
Para uma instituição alcançada pela Resolução, os impactos principais são: formalizar uma política consistente; garantir aprovação e trilha de governança; mapear conteúdo mínimo; estruturar independência, recursos e acesso; integrar risco de conformidade ao gerenciamento de riscos; executar testes e avaliações; informar e capacitar públicos relevantes; acompanhar apontamentos de auditor independente; elaborar relatório anual; reportar resultados ao conselho; tratar falhas com medidas corretivas; e manter evidências à disposição do Banco Central.
A implementação prática deve evitar dois extremos. O primeiro é tratar a política como documento estático, aprovado uma vez e desconectado das atividades reais de conformidade. O segundo é transformar todos os temas de compliance em obrigações genéricas sem dono, evidência ou gatilho. A Resolução pede uma função de conformidade operacional, com governança, independência, reporte e registros.
O pacote foi estruturado para permitir importação por requisitos controláveis, com perguntas, controles, evidências e achados potenciais específicos. A avaliação final em cada instituição deve considerar estrutura societária, existência de conselho, forma cooperativa, existência de unidade específica de conformidade, relevância de terceiros, ciclo de relatório anual e disponibilidade documental histórica.
