Estabelece regras para registro e exercício da auditoria independente no mercado de valores mobiliários e define deveres dos administradores das entidades auditadas.
A Resolução CVM 23 estrutura o regime de auditores independentes no mercado de valores mobiliários.
📌 Cobre registro, cadastro, informes, independência, rotatividade, CAE, qualidade e educação continuada.
⚠️ Exige atenção especial a prazos de comunicação à CVM e controles de independência.
🧾 Inclui referências oficiais para InfoAudi, consulta de auditores, CFC e IBRACON.
A Resolução CVM nº 23, de 25 de fevereiro de 2021, disciplina o registro e o exercício da atividade de auditoria independente no âmbito do mercado de valores mobiliários. O documento também define deveres dos auditores independentes, responsabilidades de administradores das entidades auditadas no relacionamento com esses auditores, regras de independência, rotatividade, Comitê de Auditoria Estatutário, controle de qualidade e educação continuada.
Na curadoria, a resolução foi tratada como norma autônoma com efeito revogador pontual. O pacote concentra os requisitos que nascem no próprio documento-fonte: pedidos de registro, manutenção de condições, remessas anuais e eventuais, deveres de execução dos trabalhos de auditoria, comunicações à CVM, retenção de papéis de trabalho, requisitos de contratação pelas entidades auditadas, rotatividade, funcionamento do Comitê de Auditoria Estatutário, qualidade interna e externa e educação continuada. As revogações das Instruções CVM nº 308/1999, nº 591/2017 e nº 611/2019 foram registradas como alterações de requisitos, sem duplicar obrigações das normas revogadas.
O resultado deve ser lido como retrato-fonte da Resolução CVM nº 23. Ele não consolida alterações posteriores que não estejam no próprio texto consultado, nem transforma regras internas do regulador em obrigações empresariais. Dispositivos de penalidade, publicação pela CVM, ementa, competência e vigência foram preservados como pontos de apoio ou itens de mapa de cobertura quando relevantes para interpretação, mas não foram convertidos em requisitos autônomos quando não havia ação empresarial direta.
O núcleo da resolução alcança auditores independentes pessoas naturais, sociedades de auditoria e responsáveis técnicos que atuam, ou pretendem atuar, no mercado de valores mobiliários. A norma também alcança entidades auditadas em comandos específicos, especialmente quando impõe responsabilidades aos administradores, ao conselho fiscal e à companhia que opte por usar a prerrogativa de prazo ampliado de rotatividade mediante Comitê de Auditoria Estatutário permanente.
Para os auditores independentes, a primeira camada de requisitos trata de registro e habilitação. A atividade no mercado de valores mobiliários depende de registro na CVM. A pessoa natural deve comprovar registro profissional, experiência, escritório legalizado, estrutura compatível, atualização técnica e aprovação em exame de qualificação. A sociedade de auditoria deve demonstrar objeto social compatível, sócios contadores, responsáveis técnicos, regularidade profissional, escritório legalizado, quadro técnico adequado e condições de assinatura dos relatórios. O cadastro de responsável técnico também foi tratado como requisito próprio porque tem dossiê, gatilho e evidência próprios.
Para entidades auditadas, a resolução cria obrigações relevantes de governança: fornecer elementos ao auditor, entregar carta de responsabilidade da administração, contratar auditor apto, independente e regularmente registrado, comunicar mudança de auditor à CVM e, quando houver conselho fiscal em funcionamento, verificar o cumprimento dessas responsabilidades. Esses comandos não se confundem com os deveres do auditor; por isso foram segmentados em requisitos próprios.
A segmentação tem limitação importante: o dicionário disponível não possui uma tag específica para “auditor independente registrado na CVM”. Para evitar inventar tag inexistente, os requisitos de auditores foram roteados para a categoria mais próxima de agente do mercado de capitais, com aviso de ampliação. Já requisitos de companhias com Comitê de Auditoria Estatutário foram segmentados para emissores em formato societário compatível, com explicação de que a aplicabilidade real depende de a companhia usar a prerrogativa regulatória de rotatividade.
O bloco de registro e cadastro foi granularizado em requisitos separados porque há diferenças reais de processo e evidência. Obter registro na CVM é o requisito estruturante. Atender às condições de registro como pessoa natural, atender às condições como pessoa jurídica, instruir pedido de AIPN, instruir pedido de AIPJ, cadastrar responsável técnico e comprovar experiência em auditoria foram mantidos como unidades independentes. Cada uma dessas rotinas possui documentos próprios, responsável interno provável, controles e riscos específicos.
O bloco de manutenção cadastral e informações à CVM inclui envio anual das informações do Anexo D, comunicação de alterações cadastrais e societárias em trinta dias e atendimento a exigências complementares da CVM. O informe anual recebeu recorrência porque a resolução define periodicidade e prazo: até o último dia útil de abril. Já alterações cadastrais e exigências complementares foram tratadas por gatilho, pois dependem de evento, solicitação ou alteração concreta.
Os deveres de exercício profissional foram tratados como um segundo núcleo estruturante. O auditor deve cumprir normas da CVM, observar normas do CFC e pronunciamentos do IBRACON, identificar relatórios e documentos com registros profissionais, preservar independência, evitar valores mobiliários ou consultorias incompatíveis, renunciar diante de impedimento e executar verificações específicas sobre demonstrações, relatórios, destinação de resultados e descumprimentos relevantes. Esses itens têm forte vínculo com papéis de trabalho, controles de independência, revisão técnica e governança de qualidade.
A resolução também exige entregas e comunicações específicas no curso do trabalho de auditoria. O relatório circunstanciado sobre controles internos e procedimentos contábeis deve ser encaminhado à administração e ao conselho fiscal. A comunicação de irregularidade relevante à CVM deve ser feita por escrito em até vinte dias, quando houver fato relevante relacionado às verificações do artigo 25. O auditor deve preservar papéis de trabalho por pelo menos cinco anos, permitir acesso à fiscalização da CVM e, em caso de substituição, possibilitar acesso do novo auditor a documentos e informações anteriores, observados sigilo e anuência da entidade auditada.
A resolução não é apenas uma norma para auditores. Administradores de entidades auditadas aparecem como sujeitos operacionais em pontos críticos. A entidade deve fornecer ao auditor todos os elementos necessários e a carta de responsabilidade da administração. A contratação de auditor sem independência ou sem registro regular na CVM é especialmente sensível, pois o trabalho pode ser considerado sem efeito para atendimento da lei e das normas da CVM. Por isso, a contratação do auditor foi classificada como requisito de alta criticidade, com controles de due diligence, consulta cadastral, declaração de independência e aprovação interna.
A mudança de auditor também foi separada como requisito próprio. A administração deve comunicar à CVM a mudança no prazo de vinte dias, com justificativa e anuência do auditor substituído. Se a administração não se manifestar no prazo, ou se o auditor discordar da justificativa, há deveres complementares do auditor. Esse desenho exige controle de prazos, evidências da justificativa, anuência ou discordância e protocolo. O conselho fiscal, quando em funcionamento, deve verificar o correto cumprimento pelos administradores das regras de contratação e mudança de auditor.
O regime de rotatividade é um dos blocos de maior impacto prático. A regra geral impede AIPN e AIPJ de prestar serviços para o mesmo cliente por mais de cinco exercícios sociais consecutivos, com intervalo mínimo de três exercícios para recontratação. A prerrogativa de prazo de até dez exercícios depende de condições específicas: a companhia auditada deve possuir Comitê de Auditoria Estatutário permanente e o auditor deve ser pessoa jurídica. Além disso, o CAE deve estar instalado e em pleno funcionamento até o encerramento do terceiro exercício social contado da contratação do auditor, permanecendo ativo enquanto a prerrogativa for usada.
A curadoria separou os requisitos de rotatividade, uso da prerrogativa, funcionamento do CAE, composição e independência do CAE, competências e relatório anual do CAE e retenção do relatório circunstanciado. Essa separação evita um requisito guarda-chuva e permite que a plataforma acompanhe evidências diferentes: estatuto, regimento interno, atas, calendário bimestral, reunião trimestral do coordenador com o conselho de administração, canal de denúncias, autonomia orçamentária, composição mínima, declarações de independência, documentação de experiência contábil, comunicação de substituição de membro à CVM, relatório anual resumido e relatório circunstanciado mantido por cinco anos.
Para o auditor, também há um requisito específico de avaliação e documentação dos requisitos do CAE quando se utiliza a prerrogativa de prazo ampliado. O auditor deve registrar nos papéis de trabalho a avaliação de instalação, composição e funcionamento do comitê e documentar fundamentadamente a renúncia quando concluir por desconformidade. Esse item é crítico porque conecta a governança da companhia à permanência do auditor e à necessidade de independência.
A resolução vincula a atuação do auditor à qualificação técnica e aos controles de qualidade. A equipe gerencial destinada à auditoria de entidades reguladas pela CVM deve ter aprovação em exame de qualificação técnica específico. O exame em si é aplicado por órgão ou instituição definida na norma, mas o requisito operacional para empresas foi colocado sobre o auditor: garantir que sócios, diretores, gerentes, supervisores e integrantes com função gerencial tenham a habilitação comprovada antes da alocação em trabalhos regulados.
O programa interno de controle de qualidade foi tratado como obrigação de governança de alta criticidade. Ele deve seguir diretrizes do CFC e do IBRACON e ser compatível com estrutura, equipe técnica, complexidade dos serviços e competência técnico-profissional. Para AIPJ, a condução do programa pode demandar sócio responsável quando desenvolvido em conjunto ou convênio. A revisão externa de qualidade foi tratada com recorrência quadrienal, pois a resolução exige submissão a cada ciclo de quatro anos por outro auditor registrado na CVM. O descumprimento reiterado pode levar à suspensão até apresentação de nova revisão sem ressalvas aprovada pelo comitê gestor competente.
A política de educação continuada também recebeu requisito próprio. Ela alcança AIPN e, em AIPJ, sócios, responsáveis técnicos, diretores, supervisores e gerentes, nos termos do artigo. O descumprimento em pelo menos dois dos cinco últimos anos pode ensejar suspensão do registro ou do cadastro de responsável técnico até novo certificado de aprovação em exame de qualificação técnica. A execução operacional exige mapeamento das pessoas abrangidas, controle de certificados, certidões, pontuação e plano de regularização.
Os requisitos foram desenhados com foco em evidências auditáveis. Para registro e cadastro, a evidência principal é o dossiê documental: requerimento, informação cadastral, atos societários, documentos profissionais, alvarás, certificados, comprovação de experiência, demonstrações contábeis e protocolos no sistema da CVM. Para deveres de auditoria, a evidência está em papéis de trabalho, relatórios, checklists de independência, declarações de equipe, análises de conflitos, relatórios circunstanciados, comunicações e repositórios de retenção.
Para entidades auditadas, as principais evidências são carta de responsabilidade da administração, controle de pendências de auditoria, consulta de registro do auditor, declaração de independência, contrato, aprovação interna, comunicação de mudança de auditor e ata do conselho fiscal quando aplicável. Para CAE, as evidências são fortemente societárias e de governança: estatuto, regimento, atas, calendário, relatórios, dossiês dos membros, declarações de independência, comprovação de experiência em contabilidade societária, protocolos de substituição e documentação de retenção por cinco anos.
As áreas internas sugeridas variam por requisito. Compliance e jurídico-regulatório aparecem em registro, comunicações à CVM, independência, contratação e mudanças de auditor. Contabilidade e controladoria aparecem nos trabalhos de auditoria, papéis de trabalho, relatório circunstanciado, principais assuntos de auditoria e educação continuada. Riscos e controles aparecem em qualidade, independência, CAE e governança de rotatividade. Diretoria, relações com investidores e secretaria societária aparecem com maior peso nos requisitos de entidade auditada, contratação, comunicação de mudança de auditor e funcionamento do CAE.
Alguns dispositivos foram mantidos como pontos de apoio ou mapa de cobertura, mas não viraram requisitos autônomos. Os artigos sobre prazo de exame do pedido, expedição de ato declaratório, indeferimento, recurso e publicação pela CVM têm efeitos importantes para o processo, mas em parte são procedimentos internos do regulador. Quando geram ação empresarial verificável, foram absorvidos em requisitos de dossiê, exigências complementares, manutenção de registro ou comunicação.
Os artigos de penalidade e infração grave não foram convertidos em obrigações genéricas de “não descumprir a norma”. Eles foram usados para calibrar criticidade e riscos associados, especialmente nos requisitos de independência, deveres do auditor, rotatividade, controle de qualidade e revisão externa. Essa decisão evita criar requisitos redundantes e pouco operacionais, preservando a rastreabilidade no mapa de cobertura.
A vigência geral foi registrada a partir do artigo 41, com início em 1º de abril de 2021. Como o pacote é retrato-fonte, os requisitos foram mantidos como ativos no contexto do documento analisado, sem atualização por normas posteriores não fornecidas. As revogações expressas do artigo 40 foram registradas em alteracoesRequisitos, pois são efeitos materiais do próprio documento-fonte sobre normas anteriores.
Este pacote funciona melhor como acelerador inicial para triagem, criação de obrigações e desenho de controles. Para auditores independentes, ele pode alimentar workflows de registro, cadastro, informe anual, independência, papéis de trabalho, qualidade e educação continuada. Para entidades auditadas, pode apoiar contratação de auditor, mudança de auditor, suporte à auditoria e governança de CAE. Para companhias que usam a prerrogativa de prazo ampliado, a plataforma deve tratar os requisitos de CAE como bloco condicionado: eles só são aplicáveis quando a companhia de fato pretende manter o mesmo auditor pessoa jurídica por até dez exercícios sociais consecutivos.
A implantação deve revisar a segmentação conforme o cadastro real de clientes da plataforma. Onde houver cadastro específico de auditor independente registrado na CVM, recomenda-se substituir a tag ampla por categoria granular própria. Também é útil integrar os requisitos de informe anual, atualização cadastral e consulta pública ao cadastro de auditores com os links operacionais oficiais catalogados no arquivo de referências.
Este artefato ainda não tem tags.
