Estabelece normas de supervisão para controles internos dos participantes dos mercados da B3, alinhadas à regulamentação da CVM e B3.
A Norma BSM 17/2025 estrutura deveres de controles internos para Participantes dos mercados da B3.
📌 Exige Política de Controles Internos clara, aprovada e verificável.
🧾 Reforça o RCI anual, seu conteúdo mínimo e o envio à Alta Administração.
⚠️ Dá peso a governança, planos de ação, recorrências, Ouvidoria, MRP e evidências.
A Norma de Supervisão 17/2025-BSM trata dos controles internos que devem ser observados pelos Participantes dos mercados da B3, nos segmentos Listado e Balcão. A curadoria foi feita no modo de retrato-fonte: os requisitos foram extraídos somente dos comandos presentes na própria norma, sem consolidação com normas posteriores e sem atualização externa de vigência. A norma produz efeitos a partir de 02.01.2026, data refletida na vigência operacional sugerida dos requisitos.
O documento funciona como norma autônoma e estruturante sobre governança, política, monitoramento, Relatório de Controles Internos, atuação do Diretor de Controles Internos, responsabilidades da Alta Administração, planos de ação decorrentes de auditoria, Ouvidoria, orientações sobre MRP e manutenção de evidências. A extração resultou em requisitos voltados à criação ou reforço de processos verificáveis, evidências de aprovação, trilhas de auditoria, registros de monitoramento, documentação de planos de ação e governança executiva.
O sujeito regulado é o Participante dos mercados da B3, nos segmentos Listado e Balcão. A segmentação foi direcionada para mercado de capitais, mas há aviso no pacote: o dicionário disponível não possui tag específica para Participantes B3. Por isso, a expressão de segmentação usa uma tag setorial ampla, e a aplicabilidade deve ser refinada no workspace quando houver atributo granular de Participante B3, intermediário ou categoria equivalente.
A norma afirma que não se sobrepõe a Normas de Supervisão específicas. Esse ponto foi tratado como escopo, e não como uma autorização para importar obrigações de outros atos. Referências como Resolução CVM nº 35, Resolução CVM nº 32, normas da B3, Glossário BSM e Regulamento Processual da BSM foram catalogadas como textos citados ou referências úteis, sem alterar o conteúdo do pacote.
A norma está organizada em três grandes blocos: deveres dos Participantes, atuação da BSM e enforcement. O bloco de deveres concentra praticamente todos os requisitos empresariais. Dentro dele, há subtemas relevantes: implementação de controles internos, Política de Controles Internos e documentos equivalentes, atuação dos diretores responsáveis e do Diretor de Controles Internos, estrutura interna de controles, Relatório de Controles Internos, atuação da Alta Administração, recorrências, Ouvidoria, orientações aos clientes sobre MRP e documentação/evidências.
Os itens sobre atuação da BSM foram mantidos no mapa de cobertura e como ponto normativo, mas não viraram requisito empresarial autônomo, porque descrevem a fiscalização exercida pelo autorregulador. Já a seção de enforcement foi tratada como consequência regulatória e referência de risco, também sem requisito próprio de execução, pois a ação operacional está nos deveres extraídos nos itens anteriores.
O primeiro núcleo operacional exige controles internos efetivos, não meramente formais. A norma combina medidas preventivas, detectivas e corretivas, abordagem baseada em risco e proporcionalidade ao porte, produtos, serviços, riscos e complexidade. Isso impacta matriz de controles, desenho de testes, monitoramento contínuo, gestão de falhas e evidências de atualização de parâmetros.
O segundo núcleo é a Política de Controles Internos ou documento equivalente. A política precisa ser clara, detalhada, verificável e aprovada pela Alta Administração. O conteúdo mínimo foi decomposto em requisitos específicos: responsabilidades, independência e segregação; sigilo e proteção de informações de clientes; cadastro atualizado junto à B3; monitoramento e tratamento de indícios de irregularidades; atualização e retroalimentação de controles; monitoramento de operações intermediadas; informação, sistemas e trilha de auditoria; comunicação de indícios à CVM e à BSM; e integração de documentos complementares.
O terceiro núcleo é a governança de diretores. A norma exige indicação de diretores estatutários responsáveis, Diretor de Relações com o Mercado e Diretor de Controles Internos. Também impõe cuidado com conflitos de interesse e veda acumulações que possam comprometer a independência do Diretor de Controles Internos. A nomeação deve ser comunicada à CVM e à B3 conforme prazo da regulamentação vigente.
O quarto núcleo é o Relatório de Controles Internos. O RCI deve ser elaborado e assinado pelo Diretor de Controles Internos, ser verificável, encaminhado à Alta Administração até o último dia útil de abril de cada exercício e ficar disponível para envio ao regulador, à BSM e à B3 quando solicitado. O conteúdo mínimo do RCI foi granulado para evitar um requisito guarda-chuva: controles e exames, não conformidades e planos de ação, monitoramentos temáticos, avaliações de processos e tecnologia, manifestações de diretores, arquivos e conclusão de eficácia, justificativa de não aplicabilidade e referências a documentos complementares.
O quinto núcleo envolve planos de ação decorrentes de Relatório de Auditoria da BSM. Quando houver apontamentos, o Participante deve apresentar plano de ação com medidas já adotadas e a implementar, prazos e responsáveis. O acompanhamento desses planos, sua eficácia e eventuais recorrências devem ser monitorados e refletidos no RCI.
A norma tende a impactar diretamente Compliance, Controles Internos, Riscos, Alta Administração, Jurídico Regulatório, Operações de intermediação, Tecnologia, Segurança da Informação, Privacidade, Ouvidoria e áreas comerciais ou de canais. O requisito não é apenas documental: a BSM sinaliza que verificará se controles são efetivos, proporcionais e integrados à rotina do Participante.
Do ponto de vista de riscos, os pontos de maior criticidade são aqueles que podem resultar em falhas de supervisão, recorrência de apontamentos, deficiência em controles de operações de clientes, fragilidade de informações e sistemas, ausência de trilha de auditoria, conflitos de interesse de diretores, RCI incompleto ou intempestivo e descumprimento de planos de ação pactuados com a BSM. Esses itens receberam criticidade alta porque sustentam a conformidade estrutural do Participante e podem ser objeto direto de auditoria, follow-up ou enforcement.
Os itens de criticidade média são relevantes, mas normalmente controláveis por procedimentos, evidências, atualização de documentos ou verificações periódicas. Exemplos: mapeamento de documentos que integram a política, gestão de acesso de prestadores, treinamento, justificativa de não aplicabilidade no RCI, referências a documentos complementares, Ouvidoria, orientações de MRP no site e retenção de evidências.
Os artefatos centrais esperados incluem Política de Controles Internos, documentos equivalentes como RPA ou NPA quando usados, matriz ou inventário de controles, trilhas de monitoramento de alertas, registros de tratamento de indícios, cadastro atualizado junto à B3, relatórios de testes, registros de revisão da política, histórico de versões, atas de aprovação, comunicações internas, registros de acesso e documentos de segurança da informação.
Para o RCI, os artefatos críticos são o relatório assinado, evidência de envio à Alta Administração, ata ou e-mail de ciência, capítulos de controles implantados, metodologia de exames, descrição de não conformidades, planos de ação, acompanhamento de planos anteriores, manifestações de diretores, avaliação de processos operacionais e tecnológicos, conclusão individualizada de eficácia e documentos complementares referenciados com nome, versão, item e página.
Para planos de ação da BSM, o Participante deve conseguir demonstrar medidas adotadas, medidas pretendidas, prazos, responsáveis, status de implementação, eficácia e prevenção de recorrência. Essa documentação também deve conversar com o RCI para evitar divergência entre o compromisso apresentado à BSM e a governança interna reportada à Alta Administração.
O pacote usa status de extração “revisar” por uma razão específica: limitação de segmentação. A norma é clara quanto ao sujeito regulado, mas o dicionário de tags não oferece granularidade exata para Participantes dos mercados da B3. A equipe de produto pode criar tag mais precisa no futuro e substituir a segmentação ampla.
Outro ponto de atenção é que a norma menciona prazos e condições da regulamentação vigente em alguns trechos, como comunicação de nomeação de diretores e retenção de evidências. O pacote não inventa prazos específicos nesses casos. Ele registra a entrega ou retenção e mantém o prazo como dependente da regulamentação aplicável.
A recorrência normativa expressa foi usada apenas para o encaminhamento anual do RCI à Alta Administração, até o último dia útil de abril. Outros eventos, como comunicação de nomeação, apresentação de plano de ação, atendimento a solicitação do regulador ou atualização por mudança regulatória, foram tratados como gatilhos, não como séries recorrentes automáticas.
Definições e escopo foram preservados como documentoPontos quando ajudam a rastreabilidade, mas não viraram requisitos isolados. A seção de atuação da BSM foi classificada como interno do regulador ou fiscalização, pois não cria novo comando empresarial além dos deveres extraídos. A seção de enforcement foi usada para contextualizar risco, sem criar obrigação genérica de “não descumprir a norma”.
O RCI foi deliberadamente dividido em múltiplos requisitos porque seu conteúdo mínimo envolve evidências, áreas e riscos diferentes. Essa granularidade facilita workflow, testes de aderência, anexação de evidências e abertura de achados. Por outro lado, comandos de difusão da Política e gestão de acesso a prestadores foram consolidados porque pertencem ao mesmo processo de comunicação e controle de acesso documental.
A curadoria deve ser tratada como acelerador regulatório: ela entrega requisitos rastreáveis e operacionalmente úteis, mas a empresa deve revisar aderência final conforme seu enquadramento, estrutura de participação na B3, documentos internos, normas específicas aplicáveis e modelo de negócio.
Nenhum item vinculado a este artefato.
