NBC CTO 03 - EMISSÃO DE RELATÓRIO SOBRE A PRESTAÇÃO DE SERVIÇOS DE DEPÓSITO CENTRALIZADO, DE CUSTÓDIA, DE ESCRITURAÇÃO E DE EMISSÃO DE CERTIFICADO DE VALORES MOBILIÁRIOS

QR Code - Mobile Link

início | contabilidade

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC - CT - COMUNICADOS TÉCNICOS
NBC - CTO - COMUNICADOS TÉCNICOS - ASSEGURAÇÃO

NBC-CTO 03 - EMISSÃO DE RELATÓRIO SOBRE A PRESTAÇÃO DE SERVIÇOS DE DEPÓSITO CENTRALIZADO, DE CUSTÓDIA, DE ESCRITURAÇÃO E DE EMISSÃO DE CERTIFICADO DE VALORES MOBILIÁRIOS

OBJETIVO - item 1
INTRODUÇÃO - item 2 - 3
ENTENDIMENTO E ORIENTAÇÃO - item 4 - 13
EXIGÊNCIAS ÉTICAS RELEVANTES - item 14
ABRANGÊNCIA DAS NORMAS - item 15 - 18
REPRESENTAÇÕES FORMAIS - item 19
RELATÓRIOS DE ASSEGURAÇÃO TIPOS 1 E 2 - item 20 - 23
DISPOSIÇÕES TRANSITÓRIAS - item 24 - 25
MODELO DE RELATÓRIO - item 26
DESCRIÇÃO DE PROCEDIMENTOS APLICÁVEIS NOS TRABALHOS - item 27
VIGÊNCIA
ANEXOS
- ANEXO I - Modelo de relatório de asseguração dos auditores independentes sobre a descrição de controles e seu projeto (Relatório Tipo 1).
- ANEXO II - Modelo de relatório de asseguração dos auditores independentes sobre a descrição, projeto e eficácia operacional dos controles (Relatório Tipo 2).
- ANEXO III - Modelo de relatório de asseguração limitada dos auditores independentes para atendimento aos ofícios-circulares da CVM 01/2015 e CVM 02/2015, no que se refere à entrega do relatório previsto no Art. 8º da ICVM 89/1988 (especificamente para o exercício de 2014).
- ANEXO IV - Escopo exemplificativo a ser considerado na avaliação dos controles internos de organização prestadora dos serviços de depósito centralizado de valores mobiliários, custódia de valores mobiliários e escrituração de valores mobiliários, para atendimento aos requerimentos das instruções 541, 542 e 543 emitidas pela CVM.

OBJETIVO - item 1

1. Este Comunicado Técnico tem por objetivo orientar os auditores independentes na emissão de relatórios sobre os controles relacionados aos serviços de depósito centralizado, custódia e escrituração de valores mobiliários e de emissão de certificado de valores mobiliários, para atendimento aos requerimentos das seguintes Instruções (ICVMs) emitidas pela Comissão de Valores Mobiliários (CVM) vigentes a partir de 1º de julho de 2014:

ICVM 541/2013: Dispõe sobre a prestação de serviços de depósito centralizado de valores mobiliários;
ICVM 542/2013: Dispõe sobre a prestação de serviços de custódia de valores mobiliários; e
ICVM 543/2013: Dispõe sobre a prestação de serviços de escrituração de valores mobiliários e de emissão de certificado de valores mobiliários.

INTRODUÇÃO - item 2 - 3

2. Em 20 de dezembro de 2013, a CVM emitiu as instruções 541, 542 e 543, que revogaram a Instrução CVM 89/1988, entre outras, com o objetivo de aprimorar a regulamentação sobre a prestação de serviços relacionados à infraestrutura de mercado, com vistas a assegurar a existência e detenção de ativos financeiros ofertados publicamente ou negociados em mercados organizados e estabelecendo em seus dispositivos determinadas obrigações e responsabilidades que envolvem os escrituradores, custodiantes e depositários centrais.

3. Ainda, as citadas instruções estabelecem o requerimento para que o diretor estatutário da organização prestadora de serviços responsável pelo cumprimento de normas encaminhe à CVM relatório contendo a descrição, o projeto e a eficácia operacional dos controles, elaborado pela administração, bem como relatório de asseguração emitido por auditor independente registrado na CVM nos termos da NBC-TO-3402 - Relatórios de Asseguração de Controles em Organização Prestadora de Serviços (ISAE 3402), sendo:

ANEXO I - Relatório Tipo 1 - quando da solicitação de autorização para prestação dos serviços; e
ANEXO II - Relatório Tipo 2 - anualmente, com prazo de emissão até o último dia útil do mês de abril do exercício subsequente.

A ICVM 541, adicionalmente, requer que o auditor independente emita relatório específico quando do encerramento da prestação dos serviços cobertos pelas referidas instruções, nos casos em que a autorização concedida for cancelada a pedido do depositário central. Nesses casos, o auditor independente deve avaliar qual relatório de auditoria é o mais apropriado às circunstâncias.

ENTENDIMENTO E ORIENTAÇÃO - item 4 - 13

4. A NBC-TO-3402 é requerida para trabalhos de asseguração executados a partir de 15 de julho de 2011.

5. A NBC TA ESTRUTURA CONCEITUAL - Estrutura Conceitual para Trabalhos de Asseguração estabelece que o trabalho de asseguração pode ser de “asseguração razoável” ou de “asseguração limitada”, que, por sua vez, pode ser um trabalho “baseado em afirmações” ou de “relatório direto” e que a conclusão do relatório de asseguração para trabalho baseado em afirmações pode ser redigida em termos da afirmação da parte responsável ou diretamente em termos do objeto e dos critérios. A NBC-TO-3402 trata somente de trabalhos baseados em afirmações que proporcionam segurança razoável, cuja conclusão do relatório de asseguração é redigida diretamente em termos do objeto e dos critérios.

6. O item 3 da NBC-TO-3402 trata da aplicação da norma: “Esta norma se aplica somente quando a organização prestadora de serviços é responsável pelo adequado projeto de controles, ou consegue de outra forma fazer uma afirmação sobre eles.” A NBC TO 3402 define que a afirmação da organização prestadora de serviços é a afirmação por escrito sobre os assuntos referidos nas definições de “relatório sobre a descrição e o projeto de controles”.

7. A NBC-TO-3402 trata dos trabalhos de asseguração executados por contador, que atua na prática da auditoria independente, para fornecer relatório a ser utilizado por entidades usuárias e seus auditores sobre os controles em organização prestadora de serviços, que presta serviço a essas entidades usuárias, e que é provavelmente relevante para o controle interno dessas entidades por estar relacionado com relatórios financeiros.

8. No caso em questão, os usuários previstos são a própria instituição financeira prestadora dos referidos serviços, os demais usuários que se utilizam do relatório e a CVM, autarquia federal, que estabelece as condições, os procedimentos, os controles e os informes desses serviços, bem como a necessidade de procedimentos de verificação por parte dos auditores independentes, em relação à NBC-TO-3402.

9. De acordo com o item 8 da NBC-TO-3402, os objetivos do auditor da organização prestadora de serviços são:

(a) obter segurança razoável, em todos os aspectos relevantes, com base em critérios adequados de que:

(i) a descrição do sistema da organização prestadora de serviços apresenta adequadamente o sistema que foi projetado e implementado durante o período especificado (ou no caso de relatório tipo 1, na data especificada);

(ii) os controles relacionados com os objetivos dos controles especificados na descrição do sistema da organização prestadora de serviços foram adequadamente projetados e implementados durante o período especificado (ou no caso de relatório tipo 1, na data especificada); e

(iii) quando incluídos no alcance do trabalho, os controles operaram de maneira efetiva para fornecer segurança razoável de que os objetivos dos controles especificados na descrição do sistema da organização prestadora de serviços foram alcançados durante o período especificado; e

(b) emitir relatório sobre os assuntos da alínea “a”, de acordo com as constatações do auditor da organização prestadora de serviços.

10. A NBC-TO-3402 orienta que o auditor da organização prestadora de serviços não deve declarar o cumprimento desta norma, a menos que tenha cumprido os requisitos da NBC TO 3402 e da NBC-TO-3000 - Trabalho de Asseguração Diferente de Auditoria e Revisão.

11. As condições para aplicação da NBC-TO-3402 para atendimento das ICVMs descritas no item 2 estão presentes nos trabalhos objeto deste comunicado, uma vez que as instituições autorizadas pela CVM a prestar serviços de depósito centralizado, custódia e escrituração de valores mobiliários e de emissão de certificado de valores mobiliários são responsáveis por estabelecer os controles sobre os sistemas a serem utilizados na prestação dos referidos serviços.

12. Exceto para os casos de solicitação de autorização para prestação de serviços, relatório tipo 1, para atender aos requerimentos das ICVM 541, 542 e 543, além de avaliar a descrição e o projeto, o auditor independente deve realizar procedimentos para testar a eficácia operacional dos controles sobre esse sistema.

13. De forma a orientar os auditores independentes na execução dos trabalhos necessários para emissão dos relatórios de acordo com a NBC-TO-3402, este comunicado inclui, no Anexo IV, escopo sugerido a ser considerado na avaliação dos controles internos de instituição prestadora dos serviços de depósito centralizado de valores mobiliários, custódia de valores mobiliários e escrituração de valores mobiliários. O escopo sugerido no referido anexo não é exaustivo, e caberá ao auditor exercer julgamento profissional para identificar eventuais alterações no escopo ou objetivos de controle que ele julgue necessários para realizar, de forma adequada, a prestação dos referidos serviços e para permitir a emissão de seu relatório de acordo com a NBC-TO-3402.

EXIGÊNCIAS ÉTICAS RELEVANTES - item 14

14. O auditor deve cumprir as exigências éticas relevantes, incluindo aquelas pertinentes à independência, relacionadas aos trabalhos de asseguração.

ABRANGÊNCIA DAS NORMAS - item 15 - 18

15. O escopo sugerido de revisão a ser coberto nos trabalhos de asseguração apresentado no Anexo IV deve ser aplicado sobre todas as etapas de prestação dos serviços de que tratam as ICVMs 541, 542 e 543, inclusive as posições próprias, o que pode compreender diferentes áreas da instituição que realizarem atividades relacionadas a estas normas.

16. Ainda com relação ao escopo sugerido apresentado no Anexo IV, deverá ser observado que a revisão dos riscos e controles deve abranger todos os valores mobiliários tratados nos processos da prestação dos serviços e das posições próprias.

17. Ao planejar o escopo dos trabalhos comentados neste comunicado, o auditor independente deve considerar a definição da CVM do que são valores mobiliários, a saber:

(i) todos os itens listados nos incisos I ao VIII do Art. 2º da Lei 6.385/1976;

(ii) quaisquer outros criados por lei ou regulamentação específica, como os certificados de recebíveis imobiliários (CRIs), os certificados de investimentos audiovisuais e as cotas de fundos de investimento imobiliário (FII), entre outros; e

(iii) quaisquer outros que se enquadrem no inciso IX da Lei 6.385/1976, conforme descrito no próximo item.

18. Em complemento à definição de valores mobiliários apresentada no item 17, a Lei 10.303/2001 incorporou esse conceito ao seu Art. 2º da Lei 6.385/1976, que vigora com a seguinte redação:

“Art. 2º São valores mobiliários sujeitos ao regime desta Lei:

I - as ações, debêntures e bônus de subscrição;

II - os cupons, direitos, recibos de subscrição e certificados de desdobramento relativos aos valores mobiliários referidos no inciso II;

III - os certificados de depósito de valores mobiliários;

IV - as cédulas de debêntures;

V - as cotas de fundos de investimento em valores mobiliários ou de clubes de investimento em quaisquer ativos;

VI - as notas comerciais;

VII - os contratos futuros, de opções e outros derivativos, cujos ativos subjacentes sejam valores mobiliários;

VIII - outros contratos derivativos, independentemente dos ativos subjacentes; e

IX - quando ofertados publicamente, quaisquer outros títulos ou contratos de investimento coletivo, que gerem direito de participação, de parceria ou de remuneração, inclusive resultante de prestação de serviços, cujos rendimentos advêm do esforço do empreendedor ou de terceiros.

§ 1º Excluem-se do regime desta Lei:

I - os títulos da dívida pública federal, estadual ou municipal;

II - os títulos cambiais de responsabilidade de instituição financeira, exceto as debêntures."

REPRESENTAÇÕES FORMAIS - item 19

19. O auditor da organização prestadora de serviços deve obter, dos responsáveis pela organização prestadora de serviços, representações formais:

(a) que ratificam a afirmação que acompanha a descrição do sistema;

(b) que ela forneceu todas as informações e acesso acordados; e

(c) que ela divulgou para o seu auditor qualquer um dos assuntos abaixo sobre os quais tem conhecimento:

(i) não cumprimento de leis e regulamentos, fraude ou desvios não corrigidos atribuíveis à organização prestadora de serviços que podem afetar uma ou mais entidades usuárias;

(ii) deficiências no projeto de controles;

(iii) casos em que os controles não operaram conforme descrito; e

(iv) quaisquer eventos subsequentes ao período coberto pela descrição do sistema da organização prestadora de serviços, até a data do seu relatório de asseguração, que possam ter efeito significativo sobre esse relatório de asseguração.

As representações devem estar na forma de carta de representação, endereçada ao auditor da organização prestadora de serviços, datadas o mais próximo possível, mas não depois da data do relatório de asseguração do auditor.

RELATÓRIOS DE ASSEGURAÇÃO TIPOS 1 E 2 - item 20 - 23

20. A NBC-TO-3402 apresenta dois tipos de relatórios:

Relatório Tipo 1 - Relatório sobre a descrição e o projeto de controles em organização prestadora de serviços; e
Relatório Tipo 2 - Relatório sobre a descrição, o projeto e a eficácia operacional dos controles em organização prestadora de serviços.

21. O Relatório de Asseguração do Tipo 2 difere do Tipo 1 pela inclusão de asseguração dos controles testados, enquanto o Tipo 1 assegura apenas o projeto dos controles especificados.

22. O conteúdo do Relatório de Asseguração do auditor da organização prestadora de serviços está descrito no item 53 da NBC-TO-3402. O item 53(k) descreve o tipo de opinião a ser emitida nos relatórios do Tipo 1 ou do Tipo 2, conforme descrito abaixo:

(a) no caso de Relatório Tipo 1:

(i) a descrição apresenta adequadamente o sistema da organização prestadora de serviços que foi projetado e implementado na data especificada; e

(ii) os controles relacionados com os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços foram adequadamente projetados na data especificada;

(b) no caso de Relatório Tipo 2:

(i) a descrição apresenta, adequadamente, o sistema da organização prestadora de serviços que foi projetado e implementado durante o período especificado;

(ii) os controles relacionados com os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços foram adequadamente projetados durante o período especificado; e

(iii) os controles testados, que foram aqueles necessários para fornecer segurança razoável de que os objetivos de controle especificados na descrição foram alcançados, operaram de maneira efetiva durante o período especificado.

23. Destacamos que os apêndices da NBC-TO-3402 apresentam exemplos ilustrativos de relatórios de asseguração do auditor da organização prestadora de serviços e respectivas afirmações das organizações prestadoras de serviços, inclusive, exemplos de relatório contendo modificações.

DISPOSIÇÕES TRANSITÓRIAS - item 24 - 25

24. Conforme mencionado no item 4 deste comunicado, as Instruções da CVM 541, 542 e 543 entraram em vigor a partir de 1º de julho de 2014. Nas disposições finais, a CVM estabeleceu as seguintes disposições transitórias:

(a) ICVM 541 para serviços de depósito centralizado de valores mobiliários: Art. 47 - O depositário central que já esteja autorizado ou cujo pedido de registro já esteja protocolizado na CVM deve se adaptar à instrução em até 1 (um) ano e 6 (seis) meses após a entrada em vigor da norma;

(b) ICVM 542 para prestação de serviços de custódia de valores mobiliários - Art. 22 - As instituições já autorizadas à prestação de serviços de custódia de valores mobiliários devem adaptar-se ao disposto nesta instrução em até 1 (um) ano e 6 (seis) meses após a entrada em vigor da norma. O cronograma para o processo de adaptação dos custodiantes foi estipulado no Ofício-Circular da CVM 01/2015, emitido em 8 de janeiro de 2015 pela Superintendência de Relações com o Mercado e Intermediários (SMI);

(c) ICVM 543 para prestação de serviços de escrituração de valores mobiliários e de emissão de certificados de valores mobiliários - Art. 33 - As instituições já autorizadas à prestação de serviços de escrituração de valores mobiliários e de emissão de valores mobiliários devem adaptar-se ao disposto nesta instrução em até 1 (um) ano e 6 (seis) meses após a entrada em vigor da norma. O cronograma para o processo de adaptação dos escrituradores foi estipulado no Ofício-Circular da CVM 02/2015, emitido em 23 de janeiro de 2015 pela Superintendência de Relações com o Mercado e Intermediários (SMI).

25. Conforme mencionado acima, as referidas ICVMs entraram em vigor em 1º de julho de 2014 e os administradores possuem o prazo de 1 (um) ano e 6 (seis) meses para adaptação. Para os prestadores de serviços já habilitados pela CVM até a data em vigor dessas novas normas e que já elaboravam o relatório na forma da ICVM 89/1988, a CVM informa nos ofícios-circulares CVM 01/2015 e CVM 02/2015 que será admitida a entrega do relatório previsto no Art. 8º da ICVM 89/1988 para o exercício de referência de 2014. Para esses casos, deverá ser adotado o modelo de relatório do Anexo III deste comunicado.

MODELO DE RELATÓRIO - item 26

26. Com o objetivo de manter a consistência por parte dos auditores independentes na emissão dos relatórios objeto deste comunicado, os anexos I, II e III contêm modelos de relatório. Os referidos modelos não contemplam eventuais modificações que podem ser necessárias em circunstâncias específicas. O exemplo de relatório explicitado neste documento é apenas para orientação e não pretende ser completo ou aplicável a todas as situações.

DESCRIÇÃO DE PROCEDIMENTOS APLICÁVEIS NOS TRABALHOS - item 27

27. O Anexo IV apresenta um escopo exemplificativo a ser considerado na avaliação dos controles internos de organização prestadora dos serviços de depósito centralizado de valores mobiliários, custódia de valores mobiliários e escrituração de valores mobiliários, para atendimento aos requerimentos das instruções n.^os 541, 542 e 543 emitidas pela CVM.

VIGÊNCIA

Este comunicado entra em vigor na data de sua publicação.

Brasília, 25 de novembro de 2016.
Contador Joaquim de Alencar Bezerra Filho - Presidente em Exercício
Ata CFC 1.024.

ANEXOS

ANEXO I - Modelo de relatório de asseguração dos auditores independentes sobre a descrição de controles e seu projeto (Relatório Tipo 1).
ANEXO II - Modelo de relatório de asseguração dos auditores independentes sobre a descrição, projeto e eficácia operacional dos controles (Relatório Tipo 2).
ANEXO III - Modelo de relatório de asseguração limitada dos auditores independentes para atendimento aos ofícios-circulares da CVM 01/2015 e CVM 02/2015, no que se refere à entrega do relatório previsto no Art. 8º da ICVM 89/1988 (especificamente para o exercício de 2014).
ANEXO IV - Escopo exemplificativo a ser considerado na avaliação dos controles internos de organização prestadora dos serviços de depósito centralizado de valores mobiliários, custódia de valores mobiliários e escrituração de valores mobiliários, para atendimento aos requerimentos das instruções 541, 542 e 543 emitidas pela CVM.

ANEXO I - MODELO DE RELATÓRIO DE ASSEGURAÇÃO DOS AUDITORES INDEPENDENTES SOBRE A DESCRIÇÃO DE CONTROLES E SEU PROJETO (RELATÓRIO TIPO 1)

Relatório de Asseguração dos Auditores Independentes sobre a descrição de controles e seu projeto

[ Destinatário apropriado - Organização Prestadora de Serviços XYZ ]

[ Nome da instituição ]

Alcance

Fomos contratados para emitir um relatório sobre a descrição elaborada pela Organização Prestadora de Serviços XYZ, (páginas bb a cc) do seu sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados, (ajustar para a situação específica) em [data] (“descrição”), e sobre o projeto de controles relacionados com os objetivos de controle especificados na descrição, para fins de atendimento à Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado].

Não realizamos quaisquer procedimentos com relação à eficácia operacional dos controles incluídos na descrição e, portanto, não foi expressa nenhuma opinião sobre isso.

Responsabilidades da Organização Prestadora de Serviços XYZ

A administração da Organização Prestadora de Serviços XYZ é responsável por: (i) elaborar a descrição e a correspondente afirmação (página aa), incluindo a integridade, a precisão e o método de apresentação da descrição e da afirmação referentes ao sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme apropriado para contemplar apenas os serviços prestados pela Organização Prestadora de Serviços XYZ), para atender aos requerimentos da Instrução [541, 542 ou 543 - adaptar conforme apropriado], emitida pela Comissão de Valores Mobiliários (CVM) em 20 de dezembro de 2013 (“Instrução CVM n.^os 541, 542 ou 543” - adaptar conforme apropriado); (ii) prestar os serviços incluídos na descrição; (iii) especificar os objetivos de controle; e (iv) projetar, implementar e operacionalizar os controles de maneira efetiva para alcançar os objetivos de controle especificados.

Responsabilidade dos auditores independentes

Nossa responsabilidade é a de expressar uma opinião sobre a descrição elaborada pela Organização Prestadora de Serviços XYZ do sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme apropriado para contemplar apenas os serviços prestados pela Organização Prestadora de Serviços XYZ), para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado], com base em nossos procedimentos. Conduzimos nosso trabalho de acordo com a NBC-TO-3402 - Relatórios de Asseguração de Controles em Organização Prestadora de Serviços, emitida pelo Conselho Federal de Contabilidade (CFC). Essa norma requer o cumprimento de exigências éticas pelos auditores e que o trabalho seja planejado e executado para a obtenção de segurança razoável sobre se a descrição está apresentada adequadamente, em todos os aspectos relevantes, e se os controles foram apropriadamente projetados.

O trabalho de asseguração para emitir um relatório sobre a descrição e o projeto dos controles da Organização Prestadora de Serviços XYZ envolve a execução de procedimentos selecionados para obtenção de evidência sobre as divulgações na descrição do seu sistema e o projeto dos controles. Os procedimentos selecionados dependem do julgamento do auditor, incluindo a avaliação dos riscos de que a descrição não esteja apresentada adequadamente e de que os controles não foram apropriadamente projetados. O trabalho de asseguração desse tipo também inclui a avaliação da apresentação geral da descrição, da adequação dos objetivos nela especificados e da adequação dos critérios especificados pela Organização Prestadora de Serviços XYZ e descritos na página [aa].

Conforme observado acima, não executamos quaisquer procedimentos em relação à eficácia operacional dos controles incluídos na descrição e, portanto, não expressamos nenhuma opinião sobre isso.

Acreditamos que a evidência obtida é suficiente e apropriada para fundamentar nossa opinião.

Limitações de controles em organização prestadora de serviços

A descrição, elaborada pela Organização Prestadora de Serviços XYZ, do sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme o caso para contemplar apenas os serviços prestados pela Organização Prestadora de Serviços XYZ) foi elaborada para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado]. Devido à sua natureza, os controles da Organização Prestadora de Serviços XYZ podem não prevenir ou detectar todos os erros ou omissões no processamento ou no relato das transações.

Opinião

Nossa opinião foi fundamentada nos assuntos descritos neste relatório. Os critérios utilizados na formação de nossa opinião são aqueles descritos na página [aa]. Em nossa opinião, em todos os aspectos relevantes:

(a) a descrição apresenta adequadamente o sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme o caso para contemplar apenas os serviços prestados pela Organização Prestadora de Serviços XYZ), para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado], conforme projetado e implementado em [data]; e

(b) o projeto de controles relacionados com os objetivos de controle especificados na descrição foi considerado adequado em [data].

Usuários previstos e objetivo

Este relatório se destina exclusivamente à Organização Prestadora de Serviços XYZ e à Comissão de Valores Mobiliários (CVM), para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado] e não deve ser apresentado ou distribuído a terceiros, tendo em vista sua finalidade específica descrita no primeiro parágrafo.

[Local (localidade do escritório de auditoria que emitiu o relatório) e data do relatório do auditor independente]

[Nome do auditor independente (pessoa física ou jurídica)]

[Nome do profissional (sócio ou responsável técnico, no caso de o auditor ser pessoa jurídica)]

[Números de registro no CRC da firma de auditoria e do profissional que assina o relatório]

[Assinatura do auditor independente]

ANEXO II - MODELO DE RELATÓRIO DE ASSEGURAÇÃO DOS AUDITORES INDEPENDENTES SOBRE A DESCRIÇÃO, PROJETO E EFICÁCIA OPERACIONAL DOS CONTROLES (RELATÓRIO TIPO 2)

Relatório de Asseguração dos Auditores Independentes sobre a descrição, projeto e eficácia operacional dos controles

[ Destinatário apropriado - Organização Prestadora de Serviços XYZ ]

[ Nome da instituição ]

Alcance

Fomos contratados para emitir um relatório sobre a descrição elaborada pela Organização Prestadora de Serviços XYZ, (páginas bb a cc) do seu sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados, (ajustar para cada situação específica) para o período de [data] a [data] (“descrição”), e sobre o projeto de controles relacionados com os objetivos de controle especificados na descrição, para fins de atendimento à Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado].

Responsabilidades da Organização Prestadora de Serviços XYZ

A administração da Organização Prestadora de Serviços XYZ é responsável por: (i) elaborar a descrição e a correspondente afirmação (página aa), incluindo a integridade, a precisão e o método de apresentação da descrição e da afirmação referentes ao sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme apropriado para contemplar apenas os serviços prestados pela Organização Prestadora de Serviços XYZ), para atender aos requerimentos da Instrução [541, 542 ou 543 - adaptar conforme apropriado], emitida pela Comissão de Valores Mobiliários (CVM) em 20 de dezembro de 2013 (“Instrução CVM 541, 542 ou 543” - adaptar conforme apropriado); (ii) prestar os serviços incluídos na descrição; (iii) especificar os objetivos de controle; e (iv) projetar, implementar e operacionalizar os controles de maneira efetiva para alcançar os objetivos de controle especificados.

Responsabilidade dos auditores independentes

Nossa responsabilidade é a de expressar uma opinião sobre a descrição elaborada pela Organização Prestadora de Serviços XYZ do sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme o caso para contemplar apenas os serviços prestados pela Organização Prestadora de Serviços XYZ), para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado], bem como sobre o projeto e a operação de controles relacionados com os objetivos de controle especificados nessa descrição, com base em nossos procedimentos. Conduzimos nosso trabalho de acordo com a NBC-TO-3402 - Relatórios de Asseguração de Controles em Organização Prestadora de Serviços, emitida pelo Conselho Federal de Contabilidade. A referida norma requer o cumprimento de exigências éticas pelos auditores e que o trabalho seja planejado e executado para a obtenção de segurança razoável sobre se a descrição está apresentada adequadamente, em todos os aspectos relevantes, e se os controles foram apropriadamente projetados e estão operando efetivamente.

O trabalho de asseguração para emitir um relatório sobre a descrição, o projeto e a eficácia operacional dos controles da Organização Prestadora de Serviços XYZ envolve a execução de procedimentos selecionados para a obtenção de evidência sobre as divulgações na descrição do seu sistema, projeto e eficácia operacional dos controles. Os procedimentos selecionados dependem do julgamento do auditor, incluindo a avaliação dos riscos de que a descrição não esteja apresentada adequadamente e de que os controles não foram apropriadamente projetados ou não estão operando efetivamente. Nossos procedimentos incluíram testes da eficácia operacional dos controles que consideramos necessários para fornecer segurança razoável de que os objetivos de controle especificados na descrição foram alcançados. O trabalho de asseguração desse tipo também inclui a avaliação da apresentação geral da descrição, da adequação dos objetivos nele especificados e da adequação dos critérios especificados pela Organização Prestadora de Serviços XYZ e descritos na página [aa].

Acreditamos que a evidência obtida é suficiente e apropriada para fundamentar nossa opinião.

Limitações de controles em organização prestadora de serviços

Opinião

(a) a descrição apresenta adequadamente o sistema adotado na prestação de serviços de ações escriturais, de custódia de valores mobiliários e de agente emissor de certificados (adaptar conforme o caso para contemplar apenas o(s) serviço(s) prestado(s) pela Organização Prestadora de Serviços XYZ), para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado], que foi desenhado e implementado durante o período de [data] a [data];

(b) o projeto dos controles relacionados com os objetivos de controle especificados na descrição foi adequado durante o período de [data] a [data]; e

(c) os controles testados, necessários para fornecer segurança razoável de que os objetivos de controle especificados na descrição foram alcançados, operaram com eficácia durante o período de [data] a [data].

Descrição dos testes de controle

Os controles testados, a natureza, a época e os resultados desses testes estão relacionados nas páginas [yy-zz].

Usuários previstos e objetivo

Este relatório e a descrição dos testes de controles nas páginas [yy-zz] são destinados exclusivamente à Organização Prestadora de Serviços XYZ e à Comissão de Valores Mobiliários (CVM), para atender aos requerimentos da Instrução CVM [541, 542 ou 543 - adaptar conforme apropriado], e não deve ser apresentado ou distribuído a terceiros, tendo em vista sua finalidade específica descrita no primeiro parágrafo.

[Local (localidade do escritório de auditoria que emitiu o relatório) e data do relatório do auditor independente]

[Nome do auditor independente (pessoa física ou jurídica)]

[Nome do profissional (sócio ou responsável técnico, no caso de o auditor ser pessoa jurídica)]

[Números de registro no CRC da firma de auditoria e do profissional que assina o relatório]

[Assinatura do auditor independente]

ANEXO III - MODELO DE RELATÓRIO DE ASSEGURAÇÃO LIMITADA DOS AUDITORES INDEPENDENTES PARA ATENDIMENTO AOS OFÍCIOS-CIRCULARES DA CVM 01/2015 E 02/2015, NO QUE SE REFERE À ENTREGA DO RELATÓRIO PREVISTO NO ARTIGO 8º DA ICVM 89/1988

Relatório de asseguração limitada dos auditores independentes para atendimento a [incluir a instrução/comunicado da CVM que orienta quanto à transição]

[ Destinatário apropriado - Organização Prestadora de Serviços XYZ ]

[ Nome da Instituição ]

Fomos contratados para realizar um serviço de asseguração limitada sobre o projeto de controles [e a eficácia operacional, caso aplicável e caso o relatório anterior da ICVM 89/1988 assim considerasse] dos controles dos processos [incluir os processos], em operação durante o período de [data] a [data] de acordo com os critérios descritos no Anexo I, para fins de atendimento [incluir a instrução/comunicado da CVM que traz as informações quanto à transição conforme aplicável, de acordo com item 24 deste comunicado], de XX de XXXX de XX. As informações fornecidas pela administração da Organização Prestadora de Serviços XYZ, quanto aos aspectos gerais sobre o ambiente de controles internos relacionados à prestação dos serviços de [incluir quais são os serviços prestados], estão descritas no Anexo II.

Responsabilidade da administração

A administração da Organização Prestadora de Serviços XYZ é responsável pelo projeto de controles, pela implantação e pela operação do ambiente de controles internos que atenda aos objetivos de qualidade, segurança e exatidão das informações geradas dos sistemas utilizados na prestação dos serviços de que trata a [incluir a instrução/comunicado da CVM que traz as orientações quanto à transição], mencionados no primeiro parágrafo da instrução.

Responsabilidade do auditor

Nossa responsabilidade é de expressar uma conclusão sobre o projeto [e a eficácia operacional, caso aplicável e caso o relatório anterior da ICVM 89/1988 assim considerasse] e dos controles dos processos de [incluir os processos - por exemplo, serviços de custódia e/ou serviços de escrituração e/ou serviços de depósito centralizado] adotados na prestação dos serviços de [incluir quais são os serviços prestados], com base nos procedimentos destacados no Anexo I.

Procedimentos aplicados

Conduzimos nosso trabalho de acordo com a Norma Brasileira de Contabilidade - NBC TO 3000 - Trabalho de Asseguração Diferente de Auditoria e Revisão, emitida pelo Conselho Federal de Contabilidade (CFC), a qual está de acordo com a International Standard on Assurance Engagement (Isae) 3000, norma internacional para trabalhos de asseguração. A NBC-TO-3000 exige o cumprimento com os padrões éticos e o planejamento e a realização do serviço para obter asseguração limitada de que nenhuma questão tenha chegado ao nosso conhecimento que nos leve a acreditar que o projeto [e a eficácia operacional, caso o relatório anterior da ICVM 89/1988 assim considerasse] dos controles dos processos [incluir os processos] que asseguram a qualidade, a segurança e a exatidão das informações geradas dos sistemas utilizados na prestação dos serviços de [incluir quais são os serviços prestados] não esteja adequado, de acordo com os critérios relacionados no Anexo I, em todos os seus aspectos relevantes.

Em um serviço de asseguração limitada, os procedimentos de obtenção de evidências são mais limitados do que em serviço de asseguração razoável. Portanto, obtém-se um nível de asseguração menor do que seria obtido em serviço de asseguração razoável. Os procedimentos selecionados dependem do julgamento do auditor independente, incluindo a avaliação dos riscos do projeto de controles dos processos [incluir os processos] que asseguram a qualidade, a segurança e a exatidão das informações geradas dos sistemas utilizados na prestação dos serviços de [incluir quais são os serviços prestados] não cumprir significativamente com os critérios. [o texto a seguir deve ser incluído quando não forem efetuados testes sobre a eficácia operacional] Nossos procedimentos não incluíram os testes da eficácia operacional dos controles e, consequentemente, não expressamos uma conclusão sobre esse aspecto.

O trabalho compreendeu as seguintes etapas: (i) o planejamento dos trabalhos; (ii) a obtenção de entendimento sobre a estrutura organizacional envolvida, processos estabelecidos e respectivos aspectos tecnológicos utilizados na prestação dos serviços conforme detalhado no procedimento (x) do Anexo I; e (iii) a revisão do projeto de controles [e da eficácia operacional, caso o relatório anterior da ICVM 89/1988 assim considerasse] dos controles de acordo com os procedimentos destacados no item (y) do Anexo I.

Acreditamos que as evidências obtidas são suficientes e adequadas para constituir a base de nossa conclusão.

Limitações inerentes

Nosso trabalho de asseguração limitada considerou o projeto de controles dos processos de [incluir os processos] que asseguram a qualidade, a segurança e a exatidão das informações geradas dos sistemas utilizados na prestação dos serviços de [incluir quais são os serviços prestados], em operação em XX de XXXXXXXX de 20XX. Em virtude de eventuais mudanças (a) nos sistemas ou nos controles; (b) nos requisitos dos processos; ou (c) outras possíveis mudanças de circunstâncias, qualquer projeção da nossa conclusão para o futuro está sujeita ao risco de que a atual situação não mais retrate os controles existentes em períodos futuros. Além disso, em razão de sua natureza, os controles internos, implementados pela Organização Prestadora de Serviços XYZ, podem não prevenir ou detectar e corrigir todos os erros ou omissões no seu sistema de prestação dos serviços de [incluir quais são os serviços prestados].

Conclusão

Com base em nossos trabalhos de asseguração limitada, não temos conhecimento de quaisquer desvios relevantes que nos levem a acreditar que o projeto de controles [e a eficácia operacional, caso o relatório anterior da ICVM 89/1988 assim considerasse] dos controles que asseguram a qualidade, a segurança e a exatidão das informações geradas dos sistemas utilizados na prestação dos serviços de [incluir quais são os serviços prestados], em operação em XX de XXXX de 20XX, não esteja adequado, em todos os seus aspectos relevantes, em relação aos critérios estabelecidos no Anexo I.

Restrições de uso e distribuição

Este relatório é para uso exclusivo da administração da Organização Prestadora de Serviços XYZ e da Comissão de Valores Mobiliários e não deve ser apresentado ou distribuído a terceiros, tendo em vista sua finalidade específica descrita no primeiro parágrafo.

[Local (localidade do escritório de auditoria que emitiu o relatório) e data do relatório do auditor independente]

[Nome do auditor independente (pessoa física ou jurídica)]

[Nome do profissional (sócio ou responsável técnico, no caso de o auditor ser pessoa jurídica)]

[Números de registro no CRC da firma de auditoria e do profissional que assina o relatório]

[Assinatura do auditor independente]

ANEXO IV - ESCOPO EXEMPLIFICATIVO A SER CONSIDERADO NA AVALIAÇÃO DOS CONTROLES INTERNOS DE INSTITUIÇÃO PRESTADORA DOS SERVIÇOS DE DEPÓSITO CENTRALIZADO DE VALORES MOBILIÁRIOS, CUSTÓDIA DE VALORES MOBILIÁRIOS E ESCRITURAÇÃO DE VALORES MOBILIÁRIOS, PARA ATENDIMENTO AOS REQUERIMENTOS DAS INSTRUÇÕES 541, 542 E 543 EMITIDAS PELA CVM.

Conteúdo

1. Introdução
2. Controles no nível da entidade
3. Objetivos de controle relacionados à prestação dos serviços
- 3.1. Controles dos processos operacionais da prestação dos serviços
- 3.2. Controles gerais dos processos de tecnologia da informação (TI)

1. Introdução

Este documento tem por objetivo apresentar um escopo exemplificativo a ser considerado na avaliação dos controles internos de organização prestadora dos serviços de depósito centralizado de valores mobiliários, custódia de valores mobiliários e escrituração de valores mobiliários, para atendimento aos requerimentos das instruções 541, 542 e 543 emitidas pela Comissão de Valores Mobiliários (CVM).

O escopo sugerido a seguir não é exaustivo e cabe ao auditor exercer julgamento profissional para identificar eventuais alterações no escopo ou objetivos de controle que ele julgue necessários para realizar de forma adequada a prestação dos referidos serviços e para permitir a emissão de seu relatório de acordo com a NBC-TO-3402.

Conforme a NBC-TO-3402, a responsabilidade por elaborar a descrição do sistema de prestação do serviço, incluindo os objetivos de controle e os respectivos controles relacionados, é da administração da instituição prestadora do serviço, que também é responsável por elaborar suas afirmações sobre a adequação da sua descrição e dos seus controles internos e por estabelecer uma base razoável para suportar suas afirmações sobre o serviço prestado.

A responsabilidade do auditor é a de emitir uma opinião sobre a descrição da administração e sobre o projeto de controles e, no caso do relatório Tipo 2 da NBC-TO-3402, sobre a operação dos controles relacionados aos objetivos de controle indicados na descrição da administração, com base em procedimentos de verificação selecionados pelo auditor para obtenção de evidências suficientes para emissão de sua opinião.

2. Controles no nível da entidade (Entity Level Control (ELC))

Componentes	Princípios
Ambiente de controle	- Demonstra compromisso com a integridade e os valores éticos. - Exerce a responsabilidade pela supervisão dos controles. - Estabelece a estrutura, autoridade e responsabilidade. - Demonstra o compromisso com a competência. - Reforça a responsabilidade.
Avaliação de riscos	- Estabelece os objetivos. - Identifica e analisa o risco. - Avalia o risco de fraude. - Identifica e analisa mudanças significativas.
Atividades de controle	- Seleciona e desenvolve atividades de controle. - Seleciona e desenvolve controles gerais de tecnologia. - Implanta políticas e procedimentos.
Informação e comunicação	- Uso de informação relevante. - Comunicação interna. - Comunicação externa. - Plano de continuidade de negócios.
Monitoramento dos controles	- Realiza avaliações contínuas e/ou separadas. - Avalia e comunica deficiências. - Estabelece estruturas de auditoria interna e de supervisão dos controles.

3. Objetivos de controle relacionados à prestação dos serviços

3.1. Controles dos processos operacionais da prestação dos serviços

3.1.1. Macro processos e objetivos de controle relacionados à ICVM 541

Processo	Objetivo de controle
Cadastro de participantes	Proporcionar segurança razoável de que o cadastro e a alteração das informações dos participantes nos sistemas internos estejam completos, corretos e autorizados.
Contas de depósito	Proporcionar segurança razoável de que as contas de depósito sejam individualizadas por instituições financeiras autorizadas em nome dos investidores finais.
Registro de ativos	Proporcionar segurança razoável de que as operações registradas nos sistemas internos existam e sejam válidas de acordo com as normas e regulamentos definidos.
Existência de ativos	Proporcionar segurança razoável de que a existência dos ativos registrados nos sistemas internos esteja correta, completa e que correspondam à posição dos emissores.
Registro de operações	Proporcionar segurança razoável de que as movimentações e eventos incidentes sobre os ativos registrados pelos participantes existam e sejam adequados.
Monitoramento de incidentes	Proporcionar segurança razoável de que os ônus e gravames incidentes e/ou divergências dos ativos depositados sejam registrados, detectados e corrigidos tempestivamente.
Emissão de extratos	Proporcionar segurança razoável de que os extratos mensais dos investidores sejam gerados de forma correta, completa e emitidos até o 10º dia útil do mês subsequente às movimentações.
Liquidação física e financeira	Proporcionar segurança razoável de que a liquidação física e financeira das operações nos sistemas internos ocorra de forma correta, completa, autorizada e tempestiva.
Segregação de atividades	Proporcionar segurança razoável sobre a adequada segregação das atividades da depositária

3.1.2. Macro processos e objetivos de controle relacionados à ICVM 542

Macro processos e objetivos de controle gerais aplicáveis a clientes investidores e emissores:

Processo	Objetivo de controle
Cadastro e alteração de clientes	Proporcionar segurança razoável de que o cadastro, a alteração e o encerramento das informações do contrato do cliente nos sistemas internos e nas centrais depositárias estejam completos e corretos.
Liquidação física e financeira	Proporcionar segurança razoável de que as operações de compra, venda e cessão de ativos são realizadas de maneira correta, autorizada e tempestiva.
Atos corporativos / societários (corporate actions)	Proporcionar segurança razoável de que as informações sobre os atos corporativos (corporate actions) são recebidas de fonte autorizada e registradas nas carteiras dos clientes de maneira correta e tempestiva.
Conciliação de ativos	Proporcionar segurança razoável de que as posições financeiras dos ativos constantes nas carteiras dos clientes são conciliadas com fonte autorizada de maneira correta, e as exceções são identificadas, investigadas e regularizadas tempestivamente.
Cadastro de ativos	Proporcionar segurança razoável de que os ativos de renda fixa e de renda variável são registrados nos sistemas internos de maneira correta.
Transferência da custódia	Proporcionar segurança razoável de que os ativos sejam transferidos de maneira correta, autorizada e tempestiva.
Prestação de informações	Proporcionar segurança razoável de que as posições físicas e financeiras são disponibilizadas para os clientes de maneira correta e tempestiva.
Segregação de atividades	Proporcionar segurança razoável de que haja segregação adequada das atividades de custódia.
Registro de gravame de ativos	Proporcionar segurança razoável de que o registro de gravames sobre os ativos nos sistemas internos e externos, se aplicável, seja feito de forma correta, autorizada e tempestiva.

Macro processos e objetivos de controle complementares aplicáveis a Fundos de Investimentos em Direitos Creditórios (FIDC):

Processo	Objetivo de controle
Validação dos direitos creditórios	Proporcionar segurança razoável de que os direitos creditórios estejam válidos em relação aos critérios de elegibilidade estabelecidos no regulamento.
Documentação dos direitos creditórios	Proporcionar segurança razoável de que a documentação que evidencia o lastro dos direitos creditórios esteja completa e correta e seja mantida atualizada e em perfeita ordem.
Verificação de lastro	Proporcionar segurança razoável de que o lastro dos direitos creditórios seja verificado trimestralmente para assegurar que a documentação referente ao lastro esteja completa e correta.
Guarda física	Proporcionar segurança razoável de que a custódia e a guarda física da documentação relativa aos direitos creditórios e demais ativos integrantes da carteira são realizadas de maneira completa e correta, e as exceções são identificadas, investigadas e tratadas tempestivamente.
Cobrança	Proporcionar segurança razoável de que os pagamentos, resgates de títulos ou qualquer outra renda relativa aos títulos custodiados são cobrados e recebidos de maneira correta, completa e tempestiva e que os valores sejam creditados/debitados nas contas adequadas.

Observação: Os exemplos apresentados neste comunicado são geralmente aplicáveis a diversas entidades, entretanto, o auditor deve se atentar para a necessidade de incluir outros objetivos de controle relacionados a riscos específicos que possam existir na prestação do referido serviço para determinados clientes, investidores ou emissores, ou determinados ativos custodiados.

3.1.3. Macro processos e objetivos de controle relacionados à ICVM 543

Processo	Objetivo de controle
Cadastro de emissores	Proporcionar segurança razoável de que o cadastro dos emissores e a implantação dos ativos nos livros de registros, em sistemas informatizados internos e nas centrais depositárias, quando aplicável, estejam completos, corretos e autorizados.
Titularidade de ativos	Proporcionar segurança razoável de que a titularidade dos ativos seja realizada de maneira correta, autorizada, tempestiva e em contas de valores mobiliários individualizadas, abertas em nome de cada titular e mantendo as informações exigidas em regulamentação vigente.
Registros de gravames de ativos	Proporcionar segurança razoável de que o registro de gravames sobre os ativos nos sistemas internos e externos, se aplicável, seja feito de forma correta, autorizada e tempestiva.
Movimentação de ativos	Proporcionar segurança razoável de que a movimentação dos ativos nos livros de registros, em sistemas internos, esteja completa, correta, autorizada e tempestiva.
Liquidação física e financeira	Proporcionar segurança razoável de que as liquidações físicas e financeiras relacionadas aos ativos são realizadas de maneira completa, correta, autorizada e tempestiva.
Transferência de escrituração	Proporcionar segurança razoável de que a transferência dos ativos seja realizada de maneira correta, completa, autorizada e tempestiva.
Eventos	Proporcionar segurança razoável de que apropriação e a liquidação de eventos nos sistemas internos estejam completas, corretas, autorizadas e tempestivas.
Conciliação de ativos	Proporcionar segurança razoável de que a conciliação diária das posições registradas nas contas de valores mobiliários e dos eventos incidentes sobre essas posições registradas nos sistemas internos, quando for o caso, com os registros mantidos e informados pelas depositárias centrais esteja correta, autorizada e tempestiva.
Extratos	Proporcionar segurança razoável de que as posições físicas e financeiras são disponibilizadas para os investidores de maneira correta e tempestiva (até o 10º dia do mês seguinte ao término do mês em que ocorrer movimentação, quando solicitado, no prazo de até 2 dias úteis e até o final do mês de fevereiro de cada ano as informações relativas ao ano anterior).
Segregação de atividades	Proporcionar segurança razoável sobre a adequada segregação das atividades de escrituração dos ativos.
Cancelamento do serviço	Proporcionar segurança razoável de que os controles de cancelamento da prestação do serviço sejam realizados de maneira correta, autorizada e que a comunicação referente aos cancelamentos dos serviços à CVM e aos depositários centrais seja tempestiva, de acordo com a legislação em vigor.

Macro processos e objetivos de controle complementares aplicáveis aos escrituradores que atuarem também como agente emissor de certificados:

Processo	Objetivo de controle
Emissão de certificados	Proporcionar segurança razoável de que a emissão, alteração, substituição e cancelamento de certificados representativos dos valores mobiliários recebidos em depósito sejam corretos, autorizados e tempestivos.
Manutenção dos certificados	Proporcionar segurança razoável de que a manutenção de certificados dos valores mobiliários, no que tange ao cancelamento e à alteração, seja correta, autorizada e tempestiva.
Controle do lastro	Proporcionar segurança razoável de que o controle dos valores mobiliários que lastreiam os certificados emitidos seja realizado de maneira correta, autorizada e tempestiva.
Substituição de certificados	Proporcionar segurança razoável de que os atos de substituição de certificados sejam praticados de maneira correta, autorizada e no menor prazo possível, não excedente a 30 (trinta) dias da data do recebimento dos documentos pertinentes.

Observação: Atentar para a necessidade de incluir outros objetivos de controle relacionados a riscos específicos que possam existir na prestação do referido serviço para determinados ativos escriturados.

3.2. Controles gerais dos processos de tecnologia da informação (TI)

Processo	Objetivo de controle
Segurança lógica	Proporcionar segurança razoável de que o acesso lógico à rede e aos sistemas aplicativos é restrito a colaboradores adequadamente autorizados.
	Proporcionar segurança razoável de que os acessos aos bancos de dados são autorizados e restritos aos profissionais adequados.
	Proporcionar segurança razoável de que os acessos de usuários a transações críticas dos sistemas aplicativos são registrados e mantidos de forma adequada.
Segurança física	Proporcionar segurança razoável de que os acessos físicos aos sistemas são restritos a colaboradores adequadamente autorizados.
Gerenciamento de mudanças	Proporcionar segurança razoável de que mudanças nos sistemas aplicativos (normais e emergenciais) das plataformas distribuída e mainframe sejam testadas e implantadas de maneira correta e autorizada.
Operações computacionais	Proporcionar segurança razoável de que políticas e procedimentos de backup dos dados dos sistemas aplicativos foram elaborados de maneira adequada e que tais procedimentos são executados conforme definidos.
	Proporcionar segurança razoável de que procedimentos de planos de contingência de sistemas e recuperação de desastres foram elaborados, documentados e que tais procedimentos são testados de forma periódica.
	Proporcionar segurança razoável de que o ambiente dos sistemas é monitorado para possibilitar a identificação de incidentes e que estes sejam tratados adequadamente.
	Proporcionar segurança razoável sobre a adequada segregação das atividades de TI.

(...)

Quer ver mais? Assine o Cosif Digital!

Cosif-e