Altera regras sobre controles internos para administradoras de consórcio, instituições de pagamento e sociedades corretoras autorizadas.
A Resolução BCB nº 431/2024 reforça os controles internos sobre qualidade das informações prestadas.
📌 Exige medidas para garantir documentos, dados e informações corretos e tempestivos.
🧪 Determina processo de verificação com testes específicos de qualidade.
⚠️ Afeta entidades alcançadas pela Resolução BCB nº 260/2022 e exige revisão de evidências, controles e trilhas de validação.
A Resolução BCB nº 431/2024 é uma norma alteradora curta, mas operacionalmente relevante. Ela modifica a Resolução BCB nº 260/2022, que disciplina sistemas de controles internos de entidades autorizadas pelo Banco Central, para reforçar o bloco de informação e comunicação dos controles internos. O pacote foi construído como retrato da norma alteradora: ele não reproduz todos os deveres da Resolução BCB nº 260/2022, mas registra os comandos novos ou materialmente relevantes que nascem da Resolução BCB nº 431/2024.
O núcleo da alteração está no art. 5º da norma alterada. A Resolução BCB nº 431/2024 passa a exigir medidas para garantir que documentos, dados e informações sejam fornecidos corretamente e de acordo com prazos e condições legais ou regulamentares. Além disso, explicita que essas medidas devem incluir processo de verificação da qualidade das informações prestadas. O parágrafo único acrescentado determina que esse processo deve abranger testes específicos de qualidade.
Na prática, o documento desloca o tema de qualidade de dados de uma boa prática desejável para um componente regulatório do sistema de controles internos. O foco não é apenas enviar informações ou manter canais de comunicação, mas demonstrar que a instituição possui mecanismo estruturado para prevenir, detectar e corrigir falhas de qualidade, inconsistências, incompletudes, atrasos ou descumprimento de condições normativas na prestação de documentos, dados e informações.
A norma alterada é a Resolução BCB nº 260/2022. O escopo indicado na ementa da Resolução BCB nº 431/2024 alcança administradoras de consórcio, instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.
A segmentação do pacote usa tags específicas quando disponíveis: administradoras de consórcio, instituições de pagamento e corretoras ou distribuidoras. Para sociedades corretoras de câmbio, não há tag granular própria no dicionário disponível. Por isso, a expressão usa uma tag ampla de instituição financeira como aproximação para reduzir falso negativo. Essa escolha pode gerar roteamento mais amplo do que o escopo jurídico estrito e foi marcada como ponto de revisão no manifest. A aplicabilidade concreta deve ser confirmada pelo enquadramento regulatório da entidade perante o Banco Central.
É importante separar o escopo desta norma alteradora do regime mais amplo de controles internos aplicável a outras instituições financeiras. A Resolução BCB nº 431/2024 não foi tratada como consolidação de toda a disciplina de controles internos. O pacote reflete apenas o que a norma de 2024 acrescenta ou altera materialmente na Resolução BCB nº 260/2022.
O primeiro comando material é a exigência de medidas para garantir o fornecimento de documentos, dados e informações corretos, conforme prazos e condições legais ou regulamentares. Esse comando tem natureza transversal dentro da instituição, porque pode afetar informações regulatórias, documentos formais, bases de dados, relatórios, arquivos, comunicações e demais prestações submetidas a obrigações legais ou normativas.
O segundo comando é a implementação de processo de verificação da qualidade das informações prestadas. A norma não descreve um formulário, leiaute ou canal específico. Assim, o requisito foi modelado como processo de controle interno. Ele deve permitir que a instituição identifique quais informações presta, quem é responsável por elas, quais fontes de dados são usadas, quais regras de validação se aplicam, quais prazos devem ser observados e quais registros comprovam a verificação.
O terceiro comando é a realização de testes específicos de qualidade dentro desse processo. Esse ponto foi separado em requisito próprio porque é verificável por evidência distinta. Não basta haver uma política geral de qualidade de informação; deve existir algum mecanismo de teste, com critérios, escopo, execução, resultado e tratamento de exceções. A norma não define periodicidade, amostra, ferramenta ou metodologia de teste. Por isso, o pacote não criou recorrência normativa nem inventou prazo. A frequência sugerida nos controles é apenas operacional, e não calendário regulatório.
A redação também reproduz o item relativo a testes periódicos de segurança para sistemas de informações e tecnologia. Esse trecho foi mantido como documentoPonto e alteração de requisito, mas não virou requisito novo neste pacote. A razão é a regra de retrato-fonte para norma alteradora: quando a norma alteradora apenas reproduz ou reorganiza trecho que já pertencia à norma alterada, não se deve duplicar requisito antigo na pasta da norma nova sem alteração material clara.
O impacto central está na governança da qualidade das informações. Entidades alcançadas devem conseguir demonstrar que a prestação de informações não depende apenas de esforço manual, revisão informal ou responsabilidade difusa. O processo esperado tende a envolver inventário de informações prestadas, mapeamento de prazos e condições, definição de responsáveis, validações antes da entrega, registro de exceções, correção de inconsistências e trilha de auditoria.
Para compliance, a norma cria um ponto de atenção relevante: obrigações regulatórias frequentemente estão espalhadas por várias áreas, sistemas e calendários. A qualidade da informação depende de quem gera o dado, quem consolida, quem aprova, quem remete e quem monitora retorno, crítica ou questionamento. A curadoria, portanto, sugere que compliance participe do monitoramento e da consolidação das evidências, mas não trate o requisito como algo exclusivamente jurídico ou regulatório. A execução material tende a estar em operações, backoffice, tecnologia, dados e controles internos.
Para riscos e controles, o requisito exige desenhar controles preventivos e detectivos. O controle preventivo mapeia o universo de informações prestadas e seus critérios de qualidade. O controle detectivo valida completude, consistência, exatidão e tempestividade. O controle corretivo registra exceções, correções e retestes. A robustez esperada deve ser proporcional à relevância da informação, ao risco da prestação, ao grau de automação e à complexidade dos sistemas envolvidos.
As evidências sugeridas no pacote priorizam rastreabilidade: inventário de informações prestadas, matriz de responsáveis, checklists de validação, logs de aprovação, resultados de testes, registro de exceções, plano de correção e retestes. Esses artefatos ajudam a demonstrar que a instituição não apenas prestou a informação, mas validou sua qualidade.
O inventário é útil porque conecta documentos, dados e informações a fontes, donos internos e prazos. Os registros de validação evidenciam que houve análise de qualidade antes ou durante a prestação. O histórico de exceções e correções mostra capacidade de detectar falhas e agir sobre elas. O plano ou roteiro de testes dá concretude ao parágrafo único, evitando que o processo de verificação seja apenas uma declaração genérica.
A norma não criou entregável regulatório novo com código, sistema, formulário ou canal próprio. Por esse motivo, os requisitos foram mantidos sem entregáveis e sem séries de recorrência. O que se criou foi obrigação de processo e controle, não uma remessa específica adicional.
O dono operacional provável é a área que coordena a prestação ou consolidação das informações, frequentemente operações, backoffice ou área dona do reporte. Riscos e controles tendem a desenhar critérios, testar execução e acompanhar falhas. Tecnologia e dados participam quando a informação nasce de sistemas, bases, integrações, trilhas ou parametrizações. Compliance acompanha aderência regulatória, monitora evidências e ajuda a priorizar obrigações críticas.
A diretoria não foi incluída como público padrão porque a Resolução BCB nº 431/2024, em si, não cria aprovação executiva específica. Também não foi sugerida auditoria interna por padrão, embora ela possa usar as evidências em trabalhos próprios. Essa decisão segue o princípio de não inflar público interno sem comando ou necessidade operacional clara.
O primeiro ponto de atenção é a delimitação do que significa informação prestada. A norma usa expressão ampla: documentos, dados e informações corretos, conforme prazos e condições legais ou regulamentares. Isso pode incluir prestações ao Banco Central e também outras informações exigidas por normas aplicáveis. A instituição deve mapear seus casos concretos e conectar o processo de qualidade às obrigações existentes.
O segundo ponto é a diferença entre teste de segurança e teste de qualidade. O item de segurança de sistemas foi preservado como ponto de rastreabilidade, mas o comando novo enfatiza qualidade da informação prestada. Testes de segurança avaliam proteção, disponibilidade, integridade técnica ou vulnerabilidades de sistemas. Testes de qualidade avaliam completude, consistência, exatidão, aderência a regra, prazo e condições do conteúdo informado. Os dois temas podem se relacionar, mas não são a mesma evidência.
O terceiro ponto é a ausência de periodicidade normativa. O parágrafo único exige testes específicos de qualidade, mas não diz que são mensais, trimestrais, anuais ou por evento. Por isso, o pacote não criou RRULE. A instituição deve definir frequência e gatilho proporcional ao risco da informação, ao processo de prestação e às normas específicas que eventualmente disciplinem cada reporte ou documento.
O quarto ponto é a segmentação. Como o dicionário de tags não tem uma tag específica para sociedades corretoras de câmbio, foi usada tag ampla como aproximação. Isso deve ser revisado no workspace, principalmente para evitar roteamento indevido a entidades financeiras que não estejam no escopo da Resolução BCB nº 260/2022.
Foram criados dois requisitos. O primeiro cobre a implementação de medidas e processo de verificação da qualidade das informações prestadas. O segundo cobre a exigência de testes específicos de qualidade. O art. 2º foi usado para vigência dos requisitos, mas não foi convertido em requisito autônomo. O trecho sobre testes periódicos de segurança de sistemas foi mantido como documentoPonto e alteração, sem requisito novo, porque a extração de uma norma alteradora não deve recriar obrigações da norma alterada quando não houver novo comando material claro.
Essa abordagem mantém fidelidade ao documento-fonte e evita transformar a Resolução BCB nº 431/2024 em pacote consolidado da Resolução BCB nº 260/2022. Para uma visão consolidada de todos os controles internos exigidos das entidades alcançadas, seria necessário processar a Resolução BCB nº 260/2022 em pacote próprio ou solicitar uma extração consolidada expressamente.
Nenhum item vinculado a este artefato.
