Altera as Resoluções CVM nº 24, de 5 de março de 2021, e CVM nº 53, de 15 de outubro de 2021.
A Resolução CVM 239 reorganiza competências internas da CVM e altera normas da própria autarquia.
📌 Reordena áreas de dados, inteligência, segurança, ouvidoria, correição e supervisão de mercado.
⚠️ Não cria requisitos empresariais diretos neste retrato-fonte.
🧾 Registra alterações, revogações e vigência diferenciada para rastreabilidade regulatória.
A Resolução CVM nº 239, de 9 de janeiro de 2026, é uma norma alteradora voltada à organização interna da Comissão de Valores Mobiliários. Ela altera principalmente o Anexo I da Resolução CVM nº 24/2021, que aprova o Regimento Interno da CVM, e também revoga pontualmente um dispositivo da Resolução CVM nº 53/2021, que trata do Sistema Integrado de Gestão de Riscos da autarquia.
O conteúdo material da norma é administrativo: reordena componentes organizacionais, cria ou ajusta unidades internas, redefine competências de superintendências, gerências, divisões, corregedoria, ouvidoria e dirigentes adjuntos, e estabelece uma transição de processos e atividades entre áreas da CVM. Embora várias competências tenham reflexo indireto sobre supervisão, fiscalização, análise sancionadora, segurança da informação, governança de dados e transparência, o documento-fonte não impõe obrigações operacionais diretas a companhias abertas, intermediários, administradores de mercado, custodiante, escriturador, fundo, gestor, administrador fiduciário, assessor de investimento ou outro participante regulado.
Por essa razão, o pacote foi classificado como retrato-fonte de norma alteradora interna. A curadoria gerou pontos do documento e registros de alteração normativa, mas não gerou requisitos empresariais em requisitos. Essa decisão evita transformar competências internas do regulador em obrigações artificiais para empresas. A utilidade do pacote está em rastrear como a CVM reorganizou sua estrutura de supervisão, dados, segurança, ouvidoria, correição e governança, além de registrar quais dispositivos das Resoluções CVM nº 24/2021 e nº 53/2021 foram alterados ou revogados.
O sujeito diretamente alcançado pela Resolução CVM nº 239 é a própria CVM, especialmente suas unidades internas e seus titulares. A norma não regula condutas empresariais, não cria cadastro, reporte, entrega periódica, política interna obrigatória para regulados, canal de comunicação de empresas, obrigação de divulgação ao mercado, procedimento de autorização, regra de suitability, dever de monitoramento por intermediário ou requisito de retenção de registro para participantes do mercado.
A norma menciona entidades de mercado e intermediários em alguns trechos, mas como objeto da competência fiscalizatória da CVM. Isso ocorre, por exemplo, na atualização de competência que trata da supervisão e fiscalização de entidades administradoras de mercados organizados, entidades de compensação e liquidação, custodiantes, escrituradores, depositários centrais, corretoras, distribuidoras, assessores de investimento e entidades autorreguladoras. A presença desses agentes no texto não foi tratada como aplicabilidade direta, porque o comando é dirigido ao desenho institucional da autarquia e não ao comportamento desses agentes.
A segmentação do pacote foi, portanto, direcionada à categoria interna do regulador. Para fins de produto, isso significa que o documento deve aparecer como referência institucional ou normativa de contexto, e não como inbox de obrigações aplicáveis a empresas. Em uma base regulatória, ele pode ser útil para explicar qual área da CVM tende a atuar em determinados temas, mas não deve disparar plano de ação de compliance empresarial por si só.
O art. 1º é o núcleo da norma. Ele altera o Anexo I da Resolução CVM nº 24/2021 e traz nova redação para diversos dispositivos do Regimento Interno. A alteração começa pela estrutura organizacional, com inclusão ou reorganização de componentes como Centro de Controle e Apoio Jurídico, Divisão de Segurança Cibernética, Superintendência de Desenvolvimento de Inteligência, Gerência de Engenharia de Dados Analíticos, Gerência de Desenvolvimento de Inteligência, Gerência de Gestão da Informação, Gerência de Governança e Proteção de Dados, Corregedoria, Ouvidoria, Divisão de Transparência e Acesso à Informação, Setor de Monitoramento de Mercado e Superintendência de Supervisão de Mercado, Derivativos e Riscos Sistêmicos.
A norma também ajusta a regra de consulta ou pedido de assessoramento jurídico à Procuradoria Federal Especializada junto à CVM. A nova redação limita a legitimidade aos membros do Colegiado e aos titulares de componentes organizacionais. Trata-se de regra interna de governança jurídica, relevante para a organização da autarquia, mas sem conversão em requisito empresarial.
Outro bloco importante envolve dados, inteligência e gestão da informação. A SDI passa a ter competência sobre soluções analíticas, inteligência para supervisão e fiscalização, governança de dados, privacidade, cultura de dados, gestão documental, preservação digital e Plano de Dados Abertos. Suas gerências recebem competências específicas: a GDA cuida de fornecimento e disponibilização de dados, arquitetura da plataforma analítica e diretrizes técnicas de processamento, armazenamento e retenção; a GDI atua em suporte operacional e gerencial, coleta e análise de informações, produção de evidências e tecnologias de inteligência; a GINF concentra gestão documental, processos e concessão de vistas; e a GDPO atua como Escritório de Governança de Dados e coordena ações de conformidade ligadas a tratamento e proteção de dados pessoais.
Há ainda um bloco de integridade, transparência e correição. A Corregedoria passa a ter competências de prevenção, correição, exame de irregularidades funcionais, instauração de sindicâncias e processos disciplinares, julgamento e aplicação de penalidades. A Ouvidoria recebe competências de recebimento, análise e encaminhamento de manifestações, pedidos de informação, denúncias, elogios, reclamações e sugestões, além de transparência, participação social, aperfeiçoamento de processos e atuação como Unidade Setorial de Integridade. A DLAI atua na cultura de transparência institucional, tratamento de documentos e informações públicas ou restritas, transparência ativa e instrumentos de acesso à informação.
No campo de supervisão de mercado, a norma atualiza competências ligadas ao acompanhamento de mercado, derivativos, riscos sistêmicos e monitoramento. A SMD passa a supervisionar e fiscalizar operações em mercado de derivativos e demais operações de valores mobiliários, o monitoramento de mercado realizado por intermediários e entidades autorreguladoras, e os riscos sistêmicos, macroprudenciais e de interconexão associados a operações e carteiras de ativos. A GMA atua sobre comunicações e denúncias de potenciais ilícitos, instrução sancionadora, termos de acusação, inquéritos, termos de compromisso e contratos de estabilização ou empréstimo de valores mobiliários em ofertas públicas. A GERIS foca riscos sistêmicos e macroprudenciais. A DSME atua na supervisão de operações em mercados organizados e na detecção de irregularidades em ambientes de negociação.
Também há bloco de segurança da informação. A DCIS recebe competências de coordenação de ações de segurança da informação e comunicações no âmbito da CVM, políticas e procedimentos de segurança, gestão de riscos, tratamento de vulnerabilidades, resposta a incidentes e conformidade de segurança da informação. Ainda que o tema seja operacionalmente relevante para empresas em outros contextos regulatórios, aqui o comando está limitado ao ambiente da CVM.
O art. 2º estabelece que, em razão da readequação de competências entre componentes organizacionais, as áreas envolvidas estabelecerão, no prazo máximo de 180 dias, procedimentos para transferência de processos e atividades. Esse é o único comando com aparência de obrigação prática e prazo, mas ele é destinado às áreas da própria CVM. Por isso, foi mantido como ponto de documento e alteração interna, sem criação de requisito empresarial. O texto não explicita expressamente o termo inicial do prazo; por cautela, o pacote não calculou uma data final.
O art. 3º revoga dispositivos do Anexo I da Resolução CVM nº 24/2021 e o inciso X do art. 13 da Resolução CVM nº 53/2021. As revogações foram registradas em alteracoesRequisitos de forma consolidada, sem tentar recriar os requisitos antigos das normas alteradas. Essa é uma decisão importante do modelo de retrato-fonte: a Resolução CVM nº 239 registra o efeito que ela produz nas normas-alvo, mas não importa para dentro de sua pasta todos os comandos da Resolução CVM nº 24/2021 ou da Resolução CVM nº 53/2021.
O art. 4º estabelece vigência diferenciada. A alteração de vinculação dos componentes GDA, GINF, GDI e GMA e a criação da DCIS entram em vigor em 21 de janeiro de 2026. As demais disposições entram em vigor em 12 de janeiro de 2026. Essa diferenciação foi registrada nos pontos de documento e nas alterações, pois afeta a aplicação temporal da reorganização interna.
O impacto direto para compliance empresarial é baixo ou inexistente como obrigação nova. Empresas reguladas pela CVM não precisam, apenas por força da Resolução CVM nº 239, criar política, alterar manual interno, enviar informação, atualizar formulário, manter evidência regulatória, revisar cadastro ou cumprir nova rotina perante o regulador.
O impacto indireto pode ser relevante para leitura institucional. A reorganização indica mudanças em quais áreas da CVM estarão encarregadas de temas como supervisão de mercado, riscos sistêmicos, derivativos, monitoramento, análise de ilícitos, dados, privacidade, segurança da informação, transparência, ouvidoria e correição. Em atendimento a fiscalizações, processos administrativos, consultas institucionais ou interações com a autarquia, equipes de relações regulatórias podem usar a norma como contexto para entender a distribuição de atribuições internas. Mesmo assim, esse uso é informacional, não um requisito de conformidade empresarial.
Também não foram criados entregáveis, recorrências, controles sugeridos, evidências sugeridas, perguntas de aderência ou achados potenciais, porque esses campos pertencem a requisitos operacionais acompanháveis. Preenchê-los neste caso produziria falso positivo de compliance e poderia induzir empresas a tratar uma norma interna do regulador como obrigação própria.
A curadoria manteve como pontos do documento os blocos que definem estrutura, competência, transição, revogação e vigência. Os pontos foram redigidos de forma curta e fiel, sem copiar integralmente os artigos, e com foco em rastreabilidade. Os dispositivos de competência foram classificados como pontos de definição ou escopo interno, pois delimitam a atuação de unidades da CVM.
O mapa de cobertura explica por que cada bloco não virou requisito empresarial. Em especial, os trechos sobre supervisão e fiscalização de entidades de mercado foram tratados com cuidado: embora mencionem participantes regulados, o verbo normativo é exercido pela CVM. A empresa aparece como objeto potencial de supervisão, não como destinatária de uma ação obrigatória nova.
As revogações foram registradas como alterações normativas. Não houve tentativa de identificar, inativar ou consolidar requisitos específicos de uma base preexistente, porque nenhum conjunto de requisitos existentes foi fornecido. O campo requisitoAfetado descreve o alvo por norma e localizador, permitindo que a plataforma ou uma revisão humana relacione posteriormente esses efeitos a registros já cadastrados, se existirem.
O primeiro ponto de atenção é evitar superinterpretação. Normas de regimento interno podem influenciar o funcionamento do regulador, mas não devem ser automaticamente roteadas como obrigação de regulados. O pacote preserva essa distinção.
O segundo ponto é a vigência diferenciada. Parte da reorganização tem marco em 21 de janeiro de 2026, enquanto as demais disposições têm marco em 12 de janeiro de 2026. Essa distinção é relevante para histórico de competências internas, especialmente se houver necessidade de entender qual unidade da CVM era responsável por determinado processo em período específico.
O terceiro ponto é a retificação indicada na página oficial da CVM. A fonte oficial consultada informa publicação no DOU de 12 de janeiro de 2026 e retificação no DOU de 16 de janeiro de 2026. O pacote foi produzido a partir das versões oficiais disponíveis na página da CVM para a Resolução CVM nº 239.
O quarto ponto é a não consolidação de normas posteriores. A página oficial da Resolução CVM nº 24 pode indicar alterações posteriores à Resolução CVM nº 239, mas este pacote não usa essas alterações para reescrever o retrato da Resolução CVM nº 239. Se uma norma posterior alterar, revogar ou substituir comandos relacionados, essa norma posterior deve ser processada em pacote próprio, salvo pedido expresso de consolidação.
A Resolução CVM nº 239 deve ser tratada como documento de contexto institucional e alteração normativa interna. Ela é relevante para rastrear a arquitetura organizacional da CVM e a distribuição de competências administrativas, fiscalizatórias, tecnológicas e de governança. Para empresas, o uso adequado é acompanhar a mudança de estrutura do regulador e compreender possíveis reflexos em interlocução institucional, mas sem criar obrigações de compliance diretas a partir deste documento-fonte.
Temas
