AAWZ Partners

AAWZ Partners - Mega Menu
Agendar reunião
Compliance para Consultoria de Investimentos CVM [2026] | AAWZ | AAWZ Partners

Compliance para Consultoria de Investimentos CVM [2026] | AAWZ

Compliance para consultoria de investimentos é o conjunto de políticas, procedimentos e controles internos que permite a uma consultoria autorizada pela CVM operar em conformidade com a Resolução CVM 19/2021, a Resolução CVM 30/2021 e as demais normas aplicáveis ao exercício independente da atividade de consultoria de valores mobiliários. Diferentemente de outros participantes do mercado, o consultor CVM atua exclusivamente no interesse do cliente, é remunerado por fee contratado diretamente com o contratante e tem vedação expressa ao recebimento de qualquer forma de remuneração de distribuidores, gestores ou emissores. Essa estrutura fee-only cria obrigações regulatórias específicas que não se confundem com as aplicáveis a assessores de investimento credenciados em plataformas.

Em 2026, o cenário regulatório para consultorias CVM é mais exigente do que em qualquer ponto anterior. A consolidação normativa promovida pela CVM desde 2021, combinada com o crescimento do número de consultorias autorizadas — que superou 3.800 firmas ativas ao final de 2025 — intensificou a atividade fiscalizatória do órgão. Consultorias que ainda operam sem política de compliance formalizada, sem registros de suitability auditáveis ou sem controles de LGPD estruturados enfrentam risco regulatório real, não hipotético.

Este artigo apresenta as obrigações fundamentais de compliance para consultorias CVM: documentação exigida pela Resolução 19/21, estrutura da política interna, suitability, monitoramento de carteiras versus IPS e adequação à LGPD. As análises e recomendações refletem a atuação da AAWZ no assessoramento jurídico e estratégico de consultorias CVM autorizadas. Para orientações sobre a estruturação jurídica e operacional da consultoria como negócio, veja o guia completo sobre como fundar uma consultoria de investimentos.

O que é compliance para consultor de investimentos CVM

Compliance para consultor de investimentos CVM é a função regulatória responsável por garantir que a consultoria opere dentro dos limites estabelecidos pela Resolução CVM 19/2021, pela Resolução CVM 30/2021 e pelas normas de LGPD e PLD/FTP. Inclui políticas documentadas, controles operacionais e registros auditáveis que demonstrem aderência contínua às obrigações do autorizado perante o órgão regulador.

A distinção entre consultor CVM e assessor de investimentos é jurídica e operacionalmente relevante para entender o escopo do compliance. O consultor CVM — pessoa física ou jurídica autorizada nos termos da Resolução CVM 19/21 — opera com independência estrutural: não possui vínculo com plataforma distribuidora, não recebe rebate, não executa ordens em nome do cliente. Seu único vínculo contratual é com o próprio investidor, e sua remuneração decorre exclusivamente do contrato de prestação de serviços firmado com esse cliente.

Essa independência tem um custo regulatório direto: toda a cadeia de compliance — da política interna ao suitability, do monitoramento de carteiras à LGPD — é responsabilidade exclusiva da consultoria. Não há plataforma, distribuidora ou instituição financeira que compartilhe ou absorva essas obrigações. Quando a CVM fiscaliza uma consultoria, o órgão examina diretamente os controles da firma, não de terceiros vinculados.

As três dimensões do compliance para consultoria CVM são:

  • Conformidade regulatória: cumprimento das normas CVM, LGPD, COAF e demais reguladores aplicáveis, com registros que comprovem esse cumprimento.
  • Conformidade contratual: aderência ao contrato firmado com cada cliente, incluindo escopo de serviços, forma de remuneração e obrigações de suitability e reporte.
  • Integridade operacional: controles internos que impeçam conflitos de interesse, garantam a independência da consultoria e protejam as informações dos clientes.

Obrigações da CVM Resolução 19/21: o que o consultor deve ter documentado

Relatório Exclusivo

Relatório de Consultorias CVM 2026

Dados sobre o mercado de consultorias CVM no Brasil: crescimento, padrões de compliance e estrutura operacional do setor.

Baixar Relatório →

A Resolução CVM 19/2021 é o marco normativo central para consultorias de valores mobiliários. Ela estabelece os requisitos de autorização, as obrigações de conduta, os deveres fiduciários e as exigências de controle interno que toda consultoria autorizada deve cumprir de forma contínua e documentada.

O quadro abaixo consolida as principais obrigações documentais exigidas pela Resolução 19/21 e pela Resolução 30/21:

Obrigação Base normativa Documento exigido Periodicidade de revisão
Política de compliance e controles internos Res. CVM 19/21, art. 20 Manual de compliance aprovado pela diretoria Anual (mínimo)
Análise de perfil do investidor (API/suitability) Res. CVM 30/21, art. 3º a 12 Questionário respondido, classificação e parecer de adequação A cada 24 meses ou quando houver mudança relevante
Contrato de consultoria Res. CVM 19/21, art. 15 Contrato escrito com escopo, remuneração e obrigações descritos A cada novo cliente ou alteração contratual
Política de conflito de interesse Res. CVM 19/21, art. 10 Declaração de independência e política de gestão de conflitos Anual
Registro de recomendações Res. CVM 19/21, art. 18 Log de recomendações com data, fundamento e parecer de suitability Contínua — por 5 anos
Política de PLD/FTP Lei 9.613/1998 + Res. COAF 36/21 Política de prevenção à lavagem de dinheiro com KYC e monitoramento Anual
Política de privacidade e dados Lei 13.709/2018 (LGPD) Política de privacidade, registros de tratamento e consentimento Anual ou quando houver mudança de escopo
IPS — Investment Policy Statement Boas práticas CVM + Res. 30/21 Declaração de política de investimentos por cliente A cada revisão de carteira (mínimo anual)

A Resolução CVM 19/21 estabelece ainda a obrigação de comunicação ao regulador em caso de alteração de sócios, estrutura societária, modelo de remuneração ou qualquer fato relevante que altere as condições do autorizado. A omissão nesse reporte pode configurar infração autônoma, independentemente de qualquer irregularidade substantiva.

Um ponto frequentemente negligenciado: a vedação ao recebimento de qualquer remuneração de terceiros que não seja o próprio cliente contratante (Res. CVM 19/21, art. 8º). Isso inclui rebates, comissões, taxas de distribuição e qualquer forma de benefício econômico proveniente de gestoras, emissores ou distribuidores. A ausência de política escrita que formalize essa vedação e os controles que a garantem é considerada falha de compliance nas fiscalizações do órgão.

Política de compliance: o que precisa constar e como estruturar

A política de compliance de uma consultoria CVM é o documento que formaliza a estrutura de governança, as regras de conduta e os mecanismos de controle que a firma adota para cumprir suas obrigações regulatórias. Ela deve existir de forma escrita, ser aprovada formalmente, comunicada a todos os envolvidos na operação e revisada ao menos uma vez por ano.

A estrutura mínima de uma política de compliance para consultoria CVM autorizada pela Resolução 19/21 deve contemplar os seguintes capítulos:

  1. Escopo e definições: abrangência da política, glossário de termos regulatórios e identificação do responsável de compliance designado.
  2. Estrutura de governança: segregação de funções, alçadas de decisão, organograma de compliance e fluxo de reporte ao responsável.
  3. Código de conduta e conflitos de interesse: princípios éticos, vedações explícitas (recebimento de rebate, vínculo com distribuidoras), procedimentos para identificar e tratar conflitos.
  4. Política de suitability: metodologia de API, categorias de perfil, procedimento de recomendação, tratamento de produtos fora do perfil e periodicidade de revisão.
  5. Controles de recomendação: registro obrigatório de cada recomendação, incluindo data, fundamento, ativo recomendado, perfil do cliente na data e parecer de adequação.
  6. Política de PLD/FTP: KYC, avaliação interna de risco, monitoramento de operações suspeitas, procedimentos de reporte ao COAF e treinamento periódico.
  7. Política de privacidade (LGPD): bases legais de tratamento de dados, registro de operações de tratamento, responsável pelo tratamento (DPO ou equivalente), gestão de incidentes.
  8. Gestão de reclamações: canal de atendimento, SLA de resposta, registro e escalada de reclamações.
  9. Revisão e atualização: periodicidade, responsável, controle de versões e registro das revisões realizadas.

A aprovação formal da política deve ser documentada com assinatura dos sócios ou administradores responsáveis e data de vigência. Para consultorias que buscam apoio especializado na estruturação desse documento, a equipe jurídica da AAWZ atua no desenvolvimento de políticas de compliance aderentes às exigências da Resolução CVM 19/21. Cada colaborador, prestador de serviço ou parceiro com acesso a informações de clientes deve assinar termo de ciência. Esses documentos precisam ser mantidos por no mínimo cinco anos, nos termos da Resolução CVM 19/21.

Consultorias que integram modelos de parceria operacional ou crescimento via fusão devem atentar para a compatibilidade entre as políticas de compliance de cada firma envolvida. As estruturas de parceria entre consultorias CVM são abordadas em detalhe no artigo sobre partnership para assessorias de investimentos.

Suitability e adequação de perfil: obrigação de registro e periodicidade

E-book Gratuito

E-book: Comitê de Partnership

Inclui seção dedicada à estrutura de compliance e governança interna de consultorias CVM de alto crescimento.

Baixar E-book →

Suitability para consultor CVM é a obrigação, estabelecida pela Resolução CVM 30/2021, de verificar se cada produto ou estratégia recomendada é adequada ao perfil do cliente antes da recomendação ser emitida. A responsabilidade pela API é exclusiva do consultor — diferentemente do assessor de investimentos, em que essa função é compartilhada com a plataforma distribuidora.

A Resolução CVM 30/21 define três eixos obrigatórios de avaliação do perfil:

  • Objetivos de investimento: horizonte de tempo, finalidade dos recursos, tolerância declarada a perdas e expectativa de retorno.
  • Situação financeira: renda mensal, patrimônio total, liquidez necessária e capacidade de absorver perdas sem comprometer o padrão de vida.
  • Conhecimento e experiência: familiaridade com classes de ativos, histórico de operações, nível de instrução financeira e compreensão dos riscos específicos dos produtos recomendados.

A partir desses três eixos, o consultor classifica o cliente em perfil de risco (conservador, moderado, arrojado — com subcategorias definidas pela metodologia interna da firma) e vincula cada recomendação ao perfil vigente na data da recomendação. Esse vínculo deve ser registrado de forma que, em eventual fiscalização ou reclamação, a CVM consiga rastrear a adequação de cada recomendação ao perfil do cliente na data em que foi feita.

As obrigações de registro de suitability que precisam estar documentadas:

  • Questionário de API respondido e assinado pelo cliente (física ou eletronicamente), com data e versão do formulário.
  • Metodologia de classificação de perfil — critérios, pesos e regras de pontuação utilizados.
  • Classificação resultante com data de emissão e validade (máximo 24 meses).
  • Parecer de adequação vinculado a cada recomendação, registrado no sistema de gestão.
  • Registro de produtos recomendados fora do perfil, com manifestação expressa do cliente e justificativa do consultor.
  • Controle de vencimento dos perfis — alerta quando se aproxima o prazo de 24 meses.

O descumprimento das exigências de suitability é uma das infrações mais recorrentes nos processos administrativos sancionadores da CVM. Multas superiores a R$ 500.000 por infração, inabilitação temporária e cancelamento do registro são sanções previstas na Lei 6.385/1976 e na Resolução CVM 45/2021. A existência de registros auditáveis é a principal linha de defesa da consultoria nesses processos.

Monitoramento de carteiras versus IPS: como documentar para inspeção CVM

O IPS (Investment Policy Statement) é o documento que formaliza, por escrito, a política de investimentos acordada entre o consultor e cada cliente individualmente. Ele registra os objetivos de retorno, os limites de risco, as restrições de alocação, o horizonte de tempo e os critérios de rebalanceamento que orientarão as recomendações ao longo do contrato. Para fins de compliance, o IPS é a referência que permite à CVM avaliar se as recomendações realizadas ao longo do tempo foram coerentes com o mandato acordado.

A distinção operacional entre monitoramento de carteiras e IPS é frequentemente confundida nas consultorias menores. São funções complementares, não equivalentes:

Dimensão IPS Monitoramento de Carteiras
Natureza Documento de política — o que foi acordado Atividade contínua — o que está acontecendo
Frequência Elaborado no onboarding; revisado ao menos anualmente Contínua — diária, semanal ou na frequência definida no contrato
Conteúdo Objetivos, restrições, limites de concentração, benchmark, critérios de rebalanceamento Posições atuais, performance, aderência ao IPS, alertas de desvio
Evidência para CVM Prova do mandato acordado com o cliente Prova de que o mandato foi acompanhado na prática
Arquivo mínimo Todas as versões, com datas de vigência e assinaturas Registros de cada ciclo de revisão, com data e ação tomada

Para fins de inspeção CVM, o consultor precisa demonstrar a cadeia completa: (1) o perfil do cliente na data da recomendação; (2) o IPS vigente que estabelecia os limites de alocação; (3) o registro de que a recomendação foi coerente com ambos; e (4) os ciclos periódicos de revisão que verificaram a manutenção dessa aderência. A ausência de qualquer elo dessa cadeia — especialmente o IPS ou os registros de monitoramento — é interpretada como falha de controles internos, independentemente de qualquer prejuízo ao cliente.

A prática recomendada pela AAWZ para consultorias com mais de 30 clientes ativos é adotar um sistema de gestão de carteiras que gere automaticamente os relatórios de aderência ao IPS — eliminando o risco de lacunas documentais por sobrecarga operacional do consultor. Um registro de monitoramento que depende exclusivamente de ação manual escala mal e é vulnerável a períodos de alta demanda operacional.

LGPD no contexto de consultoria: dados de clientes, armazenamento e consentimento

Estruture o compliance da sua consultoria

A AAWZ orienta consultorias CVM na estruturação de política de compliance, controles internos e adequação à Resolução 19/21.

Falar com Especialista →

A Lei Geral de Proteção de Dados (Lei 13.709/2018) impõe obrigações concretas às consultorias CVM no que diz respeito ao tratamento de dados pessoais de clientes. Dado o volume e a sensibilidade das informações coletadas no processo de KYC e suitability — renda, patrimônio, histórico de investimentos, dados bancários, documentos de identidade — a consultoria opera como controladora de dados pessoais sensíveis e financeiros, com todas as responsabilidades que essa classificação implica.

As obrigações de LGPD que toda consultoria CVM deve ter estruturadas:

  • Mapeamento de dados (ROPA): registro das operações de tratamento de dados — quais dados são coletados, com que finalidade, por quanto tempo são armazenados e com quem são compartilhados.
  • Base legal de tratamento: identificação da base legal aplicável a cada operação de tratamento. Para consultorias, as bases mais relevantes são: execução de contrato (o contrato de consultoria justifica o tratamento dos dados necessários à prestação do serviço) e obrigação legal (KYC e PLD/FTP são obrigações regulatórias que justificam o tratamento independentemente de consentimento específico).
  • Consentimento para finalidades não obrigatórias: envio de materiais de marketing, compartilhamento de dados com parceiros da AAWZ ou terceiros que não sejam necessários à execução do contrato exigem consentimento livre, informado e registrado do cliente.
  • Política de retenção de dados: definição de prazos de armazenamento para cada categoria de dado. A Resolução CVM 19/21 exige manutenção de registros de clientes e recomendações por cinco anos — esse prazo prevalece sobre prazos menores que a LGPD admitiria após o fim do contrato.
  • Controles de segurança da informação: acesso restrito a dados de clientes (princípio do menor privilégio), criptografia de dados em repouso e em trânsito, controle de acesso por autenticação forte e registros de auditoria de acesso.
  • Procedimento de resposta a incidentes: protocolo para detecção, contenção e comunicação de vazamentos ou acessos não autorizados à ANPD e aos titulares afetados, no prazo de 72 horas para a autoridade.
  • Designação do responsável pelo tratamento (DPO ou equivalente): a LGPD recomenda — e o porte e o grau de tratamento de dados sensíveis de uma consultoria tornam prudente — a designação formal de um responsável, ainda que seja o próprio sócio principal.

Um ponto de atenção específico para consultorias que utilizam ferramentas de terceiros (CRMs, sistemas de gestão de carteiras, plataformas de onboarding digital): o compartilhamento de dados de clientes com esses prestadores de serviço configura operação de tratamento por operador. A LGPD exige que o contrato com esses prestadores inclua cláusulas específicas de proteção de dados, definindo obrigações, limites de uso e responsabilidades em caso de incidente. A ausência dessas cláusulas expõe a consultoria a responsabilidade solidária por falhas dos prestadores.

Perguntas Frequentes sobre compliance para consultoria de investimentos

O consultor CVM pessoa física tem as mesmas obrigações de compliance que uma consultoria pessoa jurídica?

Sim. A Resolução CVM 19/2021 aplica-se tanto a pessoas físicas quanto a pessoas jurídicas autorizadas como consultoras de valores mobiliários. O consultor PF deve ter política de compliance, registros de suitability e política de LGPD equivalentes aos de uma PJ — adaptados à menor complexidade operacional, mas não simplificados a ponto de comprometer a rastreabilidade exigida pelo regulador.

Consultor CVM pode receber taxa de indicação de outros profissionais do mercado?

Não, se a taxa constituir remuneração vinculada à distribuição ou à execução de operações. A Resolução CVM 19/21 veda ao consultor qualquer remuneração que não seja o fee contratado diretamente com o cliente. Acordos de indicação entre consultores — remunerados de consultor para consultor, sem envolvimento de plataformas ou produtos — precisam ser avaliados caso a caso quanto à configuração de conflito de interesse e à necessidade de divulgação ao cliente indicado.

Com que frequência a CVM fiscaliza consultorias autorizadas?

A CVM realiza supervisão baseada em risco — consultorias com maior volume de ativos sob orientação, histórico de reclamações ou sinalizações de mercado têm probabilidade maior de inspeção. Além das fiscalizações direcionadas, o órgão realiza revisões temáticas periódicas (por exemplo, verificação de conformidade com suitability em todo o setor) que atingem consultorias independentemente de histórico individual. Manter a documentação de compliance permanentemente em ordem é a única forma de responder a uma fiscalização sem exposição.

Qual o prazo mínimo de manutenção dos registros de compliance?

A Resolução CVM 19/21 estabelece cinco anos como prazo mínimo de manutenção de registros de clientes, recomendações e documentos de compliance. Para registros relacionados a obrigações de PLD/FTP, o prazo é igualmente de cinco anos, nos termos da Resolução COAF 36/2021. Documentos societários e contratuais podem ter prazos distintos conforme o Código Civil e a legislação tributária aplicável — recomenda-se avaliação jurídica específica para cada categoria.

Navegue pelo conteúdo

Índice

Acompanhe as próximas análises sobre o mercado