Escolar Documentos
Profissional Documentos
Cultura Documentos
Neste artigo, falaremos sobre como o COSO pode ser usado para atender a Resolução do BACEN de Controles Internos.
A Resolução CMN nº 4.968 de 25/11/2021 aborda sobre os sistemas de controles internos das instituições supervisionadas
pelo Banco Central do Brasil. Vou apresentar as partes conceituais para que a compreensão do conteúdo mais hands-
on (parte prática) fique mais fácil e você consiga aplicá-lo ao seu contexto.
Como abordagem, vou apresentar no artigo um cruzamento entre as exigências da Resolução de Controles Internos (os
artigos, incisos e as alíneas) com os componentes, princípios e pontos focais do COSO. Dessa forma, o profissional de
Controles Internos poderá enxergar o como fazer, desmistificando o caminho da conformidade.
Devido ao tema e ênfase que estou dando, será um artigo mais longo e detalhado.
Caso você já saiba sobre COSO e queira ir direto ao ponto, veja o tópico que o conecto com a resolução BACEN.
0. Algumas informações úteis antes de começarmos
Antes de iniciarmos com o conteúdo, é importante esclarecer alguns pontos para que você esteja ciente:
1. Não existe uma “receita de bolo” ou uma “bala de prata” que, com poucos cliques ou ações, atingirá a conformidade com
a referida resolução.
.
2. Da mesma forma, o conteúdo desse artigo deve ser visto como um apoio técnico, não como uma única forma de atingir o
objetivo da regulação. Meu propósito com esse artigo não é oferecer uma “consultoria gratuita com uma solução certeira
para tudo e todos”, cabe ao profissional de Controles Internos avaliar o que faz sentido (ou não) e adaptar de acordo com
a necessidade.
.
3. Não existe verdade absoluta, e cada empresa… é uma empresa. É fundamental que a estrutura do COSO seja adotada e
adaptada de acordo com a realidade de cada um, e isso envolve perfil de risco, aspectos culturais da empresa,
engajamento das pessoas com a cultura de riscos e controles, tamanho da empresa, quantidade de pessoas e mais uma
dezena de outros itens.
.
4. Utilizar o COSO não é como um projeto, que possui um “início e fim definido”. Trata-se de um processo contínuo, que
permitirão evoluir cada vez mais o ambiente de controle da companhia e observar sinais de alerta antecipados sobre
mudanças no ambiente operacional e que podem afetar o sistema de controles internos.
.
5. Antes de ir direto ao ponto com a Resolução CMN nº 4.968, precisarei explicar sobre o COSO (e COSO ICIF), sua
estrutura, seus componentes, seus princípios e pontos focais, o que significa que um componente e princípio está
“presente e funcionando” (são duas coisas, veremos mais adiante no artigo), entre outros conceitos importantes e
necessários.
.
6. Por mais que eu tente explicar da maneira mais didática possível, talvez possa ser necessário um certo conhecimento do
COSO para melhor aproveitamento na aplicação prática dentro da instituição.
Um controle é qualquer mecanismo de prevenção de perdas. No mundo corporativo, definimos como qualquer ação ou
atitude tomada pela Corporação para gerir os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos
sejam alcançados.
Um controle interno é um processo conduzido pela estrutura de governança*, pela administração e por outros profissionais
da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade, (seja este automatizado ou manual).
* A expressão “estrutura de governança” abrange o órgão deliberativo, como conselho de administração, conselho consultivo,
sócios, proprietários ou conselho supervisor.
O controle interno é um processo efetuado pelo conselho de administração, gerência ou outro pessoal de uma entidade,
desenvolvido para prover avaliação razoável com relação ao atingimento dos objetivos relativos a operações, reporte e
conformidade.
• É voltado para o atingimento de objetivos em uma ou mais categorias, separadas mas sobrepostas – operações, reporte
e conformidade.
.
• É um processo de tarefas e atividades contínuas (um meio para um fim, não um fim em si).
.
• É aplicado por pessoas – não apenas sobre políticas ou manuais de procedimentos, sistemas e formulários, mas sobre
pessoas e as ações tomadas por elas em todos os níveis de uma organização, para aplicar o controle interno.
.
• É capaz de fazer uma avaliação razoável – mas não absoluta, à alta administração e ao conselho de administração de uma
entidade.
.
• É adaptável à estrutura da entidade – flexível na aplicação à entidade ou a uma subsidiária, divisão, unidade operacional
ou processo de negócio em particular.
O controle interno não é um processo em série, mas sim um processo dinâmico e integrado. O framework se aplica a todas
as entidades de grande, médio e pequeno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada
organização, entretanto, pode escolher implementar o controle interno de forma diferente.
Os controles internos são necessários uma vez que toda e qualquer organização se defronta com riscos significativos,
variando desde a falência da empresa, a má utilização dos ativos da empresa, a preparação incorreta ou incompleta de
relatórios financeiros ou de informações não financeiras relevantes. Controles internos são projetados justamente para
mitigar esse tipo de risco.
Por exemplo, uma empresa que não prepara informações financeiras precisas não só se apresenta incorretamente ao público,
mas, com a mesma importância, também não é capaz de tomar boas decisões na gestão de suas atividades.
Assim, podemos afirmar que os controles internos existem para atenuar (diminuir, mitigar) ameaças à consecução de
objetivos. A única maneira de avaliar a qualidade de um controle é considerar o grau pelo qual ele reduz as ameaças à
conquista dos objetivos da organização em um nível aceitável.
Sob o prisma de uma auditoria, quanto mais alta a qualidade do controle interno, menor o risco de controle e, portanto, mais
o auditor pode confiar na qualidade dos controles internos ao formular um parecer sobre as demonstrações financeiras de
uma organização.
Assim como uma empresa baseia-se nos princípios de contabilidade geralmente aceitos para determinar se as suas
demonstrações financeiras são apresentadas de maneira fidedigna, ela também precisa se referir a um arcabouço abrangente
de controle interno para suportar adequadamente suas operações, e é neste momento que conectamos o “plug” com a
estrutura do COSO.
Cada vez mais, as instituições necessitam de mecanismos de controles internos eficientes e eficazes para proporcionar
segurança razoável ao mercado e públicos.
Nesse sentido, ao longo dos últimos anos, o BACEN tem editado diversos atos normativos, como por exemplo, a Resolução
2.554/1998 (sobre a implantação e implementação de sistema de controles internos); Resolução 3.921/2010 (sobre a política
de remuneração de administradores); Resolução 4.557/2017 (sobre a estrutura de gerenciamento de riscos, a estrutura de
gerenciamento de capital e a política de divulgação de informações); Resolução 4.595/2017 (sobre a política de
conformidade); Resolução 4.879/2020 (sobre auditoria interna); Resolução 4.878/2020 (sobre a política de sucessão de
administradores), entre outros.
O conjunto desses normativos, associados a outros, constituem o alicerce das boas práticas de governança corporativa no
âmbito do Sistema Financeiro Nacional, formando assim um robusto conjunto de regras de governança e de gerenciamento
de riscos.
Atento aos movimentos de mercado e a crescente necessidade de aprimoramentos dos controles internos para responder
aos eventos de riscos, o Banco Central do Brasil (BACEN) e o Conselho Monetário Nacional seguem aprimorando o arcabouço
regulatório que disciplina a governança corporativa das instituições, em consonância com as melhores práticas
internacionais e com o objetivo de assegurar a solidez e a eficiência do Sistema Financeiro Nacional.
Dessa forma, em 25/11/2021, o BACEN publicou a Resolução CMN nº 4.968/2021, atualizando e aprimorando algumas regras
concernentes aos sistemas de controles internos, buscando um maior nível de aderência das normas internas às melhores
práticas reconhecidas internacionalmente, em especial as previstas nas publicações de Basileia e no próprio framework do
COSO, intitulado Internal Control – Integrated Framework. Está em vigor desde 01/01/2022 e tendo, inclusive, revogado o
normativo anterior (Resolução CMN nº 2.554/1998).
A nova Resolução CMN nº 4.968/2021 têm orientado os gestores quanto às boas práticas que devem ser adotadas para
implantação e manutenção de um sistema de controles internos efetivo. Além disso, a resolução também aprimora as
responsabilidades atribuídas à alta administração, especialmente ao conselho de administração, assim como detalha as
responsabilidades da Diretoria da empresa. Prevê, ainda, que as instituições devem designar diretor responsável pelos
assuntos de controles internos, podendo desempenhar outras funções na companhia, desde que não haja conflito de
interesse (essa obrigação da designação vigorará a partir de 01/01/2023).
2) COSO: Origens
O COSO (ou Comitê das Organizações Patrocinadoras da Comissão Treadway) é um grupo consultivo que projeta estruturas
para ajudar as organizações com questões de gerenciamento de risco. Uma de suas estruturas mais populares é a estrutura
COSO para um controle interno eficaz.
Quanto às suas origens, a estrutura de controle interno do COSO foi introduzida pela primeira vez em 1992; uma versão
revisada e mais moderna chegou em 2013, chamada de COSO ICIF, ou COSO ICF (COSO Internal Control Integrated
Framework). Talvez a imagem mais conhecida da estrutura seja o famoso cubo do COSO, que é um diagrama tridimensional
que mostra como os vários elementos de um sistema de controle interno funcionam juntos. Aplicável tanto a relatórios
financeiros externos quanto a atividades de controle interno, a estrutura COSO se concentra nas inter-relações
entre stakeholders e processos.
Trata-se do modelo utilizado como base para estruturas de controles internos mais utilizado globalmente (o próprio The IIA
manifesta sua preferência por este modelo). É uma organização dedicada à melhoria na qualidade das informações
financeiras através da ética nos negócios, controles internos eficazes e governança corporativa.
2.1) Objetivos do COSO
De acordo com o COSO, controle interno é definido como um processo implantado pelo conselho de administração,
estrutura de governança, pelos executivos e outras pessoas em uma entidade, destinado a dar razoável segurança a respeito
do alcance de objetivos nas seguintes categorias:
Esses objetivos procuram auxiliar a organização a atingir seus propósitos mais importantes, ou seja, implantar com sucesso
as estratégias corporativas para obter retornos para os acionistas. Os objetivos de controle visam auxiliar a organização a
garantir que possui operações eficazes e eficientes relacionadas à sua estratégia geral, que suas atividades estão de acordo
com as leis e normas regulatórias aplicáveis, que protege seus ativos contra roubo e fraude e que prepara informações
financeiras precisas para fins de tomada interna de decisões e divulgação externa à comunidade de investidores.
O COSO possui várias publicações, mas nesse artigo, meu foco e ênfase serão direcionados ao COSO I, ou COSO ICIF, ou
ainda COSO ICF, que é conhecido como Internal Control – Integrated Framework. Sua finalidade é apoiar o alcance dos
objetivos organizacionais, a emissão de relatórios confiáveis e tempestivos e a conformidade com as normas pertinentes ao
negócio.
Compreender a estrutura do COSO pode trazer benefícios significativos às organizações. Ele fornece orientação sobre
controles internos e como as organizações devem estabelecer controles em todo o seu ambiente. Um sistema sólido de
controles internos fornece garantia razoável de que a organização opera de forma ética, transparente e alinhada com os
padrões estabelecidos do setor.
Os conceitos atemporais do framework são: controles internos é um processo afetado por pessoas; fornece garantia razoável;
e está voltado para o alcance de objetivos relacionados a operações, divulgação e compliance.
A estrutura COSO classifica os objetivos de controle interno nos três grupos a seguir:
• Os objetivos operacionais incluem medidas de desempenho e proteção dos ativos da organização contra fraudes. Eles se
concentram na eficácia e eficiência das transações, e também incluem conformidade com políticas e procedimentos
internos.
.
• Os objetivos de divulgação, incluindo relatórios financeiros internos e externos e informações não financeiras, referem-
se à transparência, pontualidade e confiabilidade dos relatórios da organização.
.
• Os objetivos de conformidade são metas de controle interno baseadas na adesão às leis governamentais e conformidade
com leis e regulamentos externos.
Esses benefícios serão alcançados por organizações que alinham seus esforços com suas estratégias de negócios, pois estão
focadas nas questões que têm os efeitos mais tangíveis. Métricas vinculadas a um sistema eficaz de controles internos
fornecem às empresas e suas partes interessadas inteligência empresarial para apoiar a tomada de decisões, gerenciar a
produção e alocar recursos.
1. Ambiente de Controle: cria uma abordagem de cima para baixo (“top down”) para conduzir o framework do COSO por
toda a organização. Consiste em um conjunto de padrões, processos e procedimentos que são supervisionados e
aplicados pela administração. O estabelecimento de controles em todo o ambiente garante que as práticas padrão e os
valores éticos sejam usados em toda a organização.
.
2. Avaliação de Riscos: todas as organizações têm riscos e estão expostas a fatores que fazem com que não atinjam seus
objetivos. As avaliações de risco são realizadas para avaliar fatores internos e externos. As avaliações fornecem uma
garantia razoável de que as organizações estão gerenciando os riscos com uma tolerância aceitável.
.
3. Atividades de Controle: as atividades de controle são tomadas para mitigar o risco em todos os níveis da organização.
O framework do COSO ajuda a garantir que as atividades de controle realizadas pelos membros da organização sejam
eficazes para que a empresa atinja seus objetivos e trate os riscos.
.
4. Informação e Comunicação: os controles fornecidos pelo COSO ajudam a garantir que ocorra uma adequada
comunicação. Isso inclui usar uma linguagem consistente e seguir as melhores práticas para compartilhar níveis
apropriados de informações com as partes interessadas adequadas. Revisões de negócios formais de gerenciamento e
reuniões com todos os funcionários, bem como bate-papos e e-mails informais se enquadram nesse componente.
.
5. Atividades de Monitoramento: o monitoramento contínuo e as auditorias internas de todos os sistemas de controle
interno identificam os primeiros sinais de problemas e garantem a eficácia. Métricas e relatórios são fornecidos à
administração e ao conselho de administração para uma avaliação contínua. As informações coletadas e avaliadas por
reguladores e auditores verificam as atividades de controle. As auditorias de relatórios financeiros também ajudam na
prevenção de fraudes.
O controle interno é um processo que obedece a uma estrutura lógica ligada ao atingimento dos objetivos da organização. As
instituições identificam os riscos associados à consecução desses objetivos e implantam diversos processos para controlar
e/ou mitigar essas ameaças.
A estrutura de controle interno do COSO ICIF possui 17 (dezessete) princípios para apoiar os 5 (cinco) componentes e os 3
(três) objetivos do sistema de controle interno.
De acordo com o COSO, um sistema eficaz de controle interno requer cada um dos cinco componentes e princípios
relevantes estejam presentes e funcionando. Além disso, os cinco componentes devem operar juntos e de maneira
integrada.
Ao verificar se um componente está presente e funcionando, a alta administração, com a supervisão da estrutura de
governança, precisa determinar até que ponto os princípios relevantes estão presentes e funcionando. Entretanto, o fato de
um princípio estar presente e funcionando não significa que a organização se esforce para buscar o mais alto nível de
desempenho na aplicação desse princípio em particular. Ao contrário, a administração exercerá julgamento na ponderação
dos custos e benefícios do desenvolvimento, da implementação e da aplicação do controle interno.
Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um componente ou princípio
relevante, ou com respeito à operação conjunta dos componentes de uma forma integrada, a organização não pode concluir
que já possui um sistema eficaz de controle interno.
Princípio 7 - Identifica e analisa riscos: a organização identifica os riscos à realização de seus objetivos por toda a
Princípio avaliado:
entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
Foram selecionados e desenvolvidos controles detalhados (isto é, políticas e procedimentos escritos), mas eles não
Explicação / conclusão da foram aplicados.
avaliação:
Os riscos não estão sendo analisados com eficácia para avaliar a sua importância e determinar como eles devem ser
gerenciados.
A análise dos processos de avaliação de riscos nas outras unidades da empresa revelou que eles estavam presentes
e funcionando.
Conseguiu perceber a diferença na prática? Ou seja, de que adianta ter (existir) políticas e procedimentos escritos se não são
seguidos e aplicados na empresa?
Agora que percorremos as principais informações acerca do COSO (e do COSO ICIF), estamos preparados para dar o próximo
passo, que é conectá-lo com os requisitos da Resolução CMN nº 4.968, que aborda sobre o sistema de controles internos que
as instituições reguladas pelo Banco Central do Brasil devem possuir.
Para começarmos, vamos pegar o Art. 3º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles
Internos”, na “Seção I – Da Obrigatoriedade e dos Objetivos”:
Tabela 2: Relação da finalidade dos controles internos conforme resolução 4.968 x referência no COSO ICIF:
REFERÊNCIAS NO COSO
REQUERIMENTOS DA RESOLUÇÃO 4.968/2021
ICIF
Art. 3º Os sistemas de controles internos devem ter como finalidade o atingimento dos objetivos de:
I - desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas; Objetivos operacionais
Agora, vamos seguir em frente. Pegamos agora o Art. 5º da Resolução CMN nº 4.968 e os seus cinco incisos e os
correlacionamos com os cinco componentes equivalentes do COSO ICIF:
Tabela 3: Relação entre as características dos controles da Resolução 4.968 x componentes do COSO ICIF
III - quanto aos aspectos relacionados às atividades de controle e segregação de funções. Atividades de Controle
Só a título de informação e curiosidade (mesmo porque está revogada desde 01/01/2022), você também podia visualizar essa
correlação com o COSO observando a Circular nº 3.467/2009, que estabelecia critérios para elaboração dos relatórios de
avaliação da qualidade e adequação do sistema de controles internos e de descumprimento de dispositivos legais e
regulamentares.
Agora que você já viu, de forma macro, o relacionamento entre os incisos de I a V do Art. 5º da Resolução CMN nº 4.968 (o
que os sistemas de controles internos devem prever) com os cinco elementos do COSO, vamos explorar cada um deles?
Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos
voltados à cultura de controle versus os princípios do COSO que você pode utilizar para endereçá-los.
Para fins de padronização das terminologias usadas nas tabelas mais abaixo, cabe frisar que nelas haverão as seguintes
informações:
• Componentes: os componentes representam o que é necessário para atingir os objetivos (são cinco componentes de
acordo com o COSO).
.
• Princípios: são conceitos fundamentais associados aos componentes. Os princípios são características importantes dos
componentes. Os controles fornecem evidências de que os princípios relevantes estão funcionando na companhia.
.
• Pontos focais do princípio: são características importantes dos princípios e auxiliam no desenho, implantação ou
aplicação do princípio. Nas tabelas a seguir, os pontos focais foram listados através de marcadores romanos (i, ii, iii etc.),
logo abaixo dos princípios que estão associados. Os pontos de foco e os controles estão sujeitos a julgamentos da
administração.
Tabela 4: Relação entre requerimentos do BACEN (cultura de riscos e controles) versus referências do COSO ICIF
O ambiente de controle de uma empresa é complexo, e sua avaliação geralmente alguma subjetividade.
Vamos em frente?
3.3) Requerimentos da Resolução 4.968/21 (riscos) versus Referências do COSO ICIF
Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos
voltados à identificação e avaliação de riscos versus os princípios do COSO que você pode utilizar para endereçá-los:
Tabela 5: Relação entre requerimentos do BACEN (riscos) versus referências do COSO ICIF
II – quanto aos aspectos relacionados à identificação e à avaliação de riscos: – Componente: Avaliação de Riscos
Percebe como o COSO está intimamente ligado e pode ser nosso grande aliado?
Agora, vamos partir para o próximo elemento. Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à
previsão dos sistemas de controles internos voltados às atividades de controle e segregação de funções versus os princípios
do COSO que você pode utilizar para endereçá-los:
Tabela 6: Relação entre requerimentos do BACEN (controles) versus referências do COSO ICIF
i) controles que visem a evitar o envolvimento da instituição em atividades – Princípio 10: A organização seleciona e desenvolve
indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e atividades de controle que contribuem para a redução, a
climáticos; níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar
respostas);
(ii) Considerar fatores específicos à entidade (ambiente,
complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais
requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle
(manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são
realizadas (nível de transações ou nível mais alto) (ex.:
Compras [variações]; Anal. de Desemp. de Neg. [real x
orçado]);
(vi) Abordar a segregação de funções (ou alternativas de
controle quando não é possível).
Aliás, você sabia que a Enron possuía um dos melhores códigos de ética “escritos” da época? Entretanto, o conselho de
administração costumeiramente anulava exigências envolvendo “conflitos de interesse”. Assim, permitiu que Andy Fastow,
tesouro da empresa, montasse entidades com fins específicos cuja única finalidade era inflacionar lucros ou esconder
prejuízos da empresa.
Controles são desenvolvidos para reduzir os riscos. Eles devem ser específicos aos riscos da organização e aos seus métodos
de processamento de transações. Não há um conjunto único de controles recomendados que devem ser utilizados por todas
as empresas. Há alguns, como o de segregação de funções e atividades, que podem ser comuns nas empresas, mas
implantados de maneiras distintas. Por isso é importante que a administração identifique e implante os controles mais
eficazes, em termos de custos e alinhados às suas necessidades, para lidar com riscos relevantes.
Além disso, as atividades de controle também se destinam a reduzir riscos associados a operações ineficazes ou ao
descumprimento de políticas regulatórias ou da empresa. Os riscos e controles associados a operações e cumprimento de
políticas comumente precisam ser considerados.
Note que o BACEN deixa, de maneira explícita, a menção a “segregação de funções”, e isso faz muito sentido devido a sua
relevância e impacto que pode causar se negligenciada. A segregação tem como finalidade proteger contra o risco que um
indivíduo possa perpetrar e encobrir uma fraude. Embora a segregação seja muito eficaz do ponto de vista de atenuar o risco,
ela pode ser anulada por meio de conluio entre os funcionários. As organizações de menor porte devem considerar outras
maneiras de atenuar o risco, pois geralmente não possuem pessoas suficientes para segregar plenamente todas as funções
(adotar um controle de revisão periódico da atividade pode ser uma alternativa).
Surpreso até o momento em como as coisas estão conversando umas com as outras? Então continua aqui acompanhando.
Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos
voltados às informações e comunicações versus os princípios do COSO que você pode utilizar para endereçá-los:
Tabela 7: Relação entre requerimentos do BACEN (informação e comunicação) versus referências do COSO ICIF
Desde o surgimento da SOX, há um reconhecimento claro da necessidade de uma comunicação “de baixo para cima”,
particularmente, quando um funcionário está preocupado com algo que considera impróprio nas operações da empresa
(afinal, se lembra das fraudes que comente mais acima?). Isso é o que se chama de “função de denúncia”, que comumente
inclui processos que permitem que a comunicação seja feita de forma anônima e não leve a represálias.
Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos
voltadas às atividades de monitoramento versus os princípios do COSO que você pode utilizar para endereçá-los:
Tabela 8: Relação entre requerimentos do BACEN (monitoramento) versus referências do COSO ICIF
REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
Os processos de monitoramento contínuo são projetados para identificar falhas de controle, geralmente mediante a
constatação de atividades e resultados fora do normal, inesperados ou incompatíveis com os objetivos da empresa.
O monitoramento é um componente importante de controle interno. A identificação de falhas deve ser acompanhada por
ações gerenciais para que seja determinada a causa fundamental do problema, para assegurar que ações corretivas sejam
tomadas.
Observe que o Art. 6º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles Internos”, na “Seção III – Dos
Relatórios Periódicos”, apresenta a obrigatoriedade da emissão de relatório anual, listando o conteúdo mínimo que deverá ser
enquadrado:
Tabela 9: Relação entre requerimentos do BACEN (emissão relatório anual) versus referências do COSO ICIF
I – a avaliação sobre a adequação e a efetividade dos sistemas de controles – Princípio 14: A organização transmite internamente as informações
internos; necessárias para apoiar o funcionamento do controle interno, inclusive os
objetivos e responsabilidades pelo controle.
II – as recomendações a respeito de eventuais deficiências, com o (i) Comunicar as informações de controle interno (para entendimento e
estabelecimento de cronograma de saneamento, quando for o caso; e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração
III – a manifestação dos responsáveis pelas correspondentes áreas a respeito e estrutura de governança para cumprir suas funções).
das deficiências encontradas em verificações anteriores e das medidas (iii) Fornecer linhas de comunicação independentes (anônimo e confidencial
efetivamente adotadas para saná-las. quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando
tempestividade, público e natureza).
• [artigo] A resolução CMN 4968/21 para o fortalecimento do sistema de controle interno (por Eduardo Pardini)
.
• [vídeo] Controles Internos segundo o BACEN (por Marcos Assi)
.
• [publicação] Framework for Internal Control Systems in Banking Organizations (via BIS, o “banco central dos bancos
centrais”)
.
• [normativo] Resolução CMN nº 4.968 de 25/11/2021: Dispõe sobre os sistemas de controles internos das instituições
financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
.
• [normativo] Exposição de motivos que sustentaram a criação da Resolução CMN nº 4.968/2021.
.
• [site oficial] COSO Internal Control – Integrated Framework (COSO ICIF).
.
• [sumário] Sumário Executivo – COSO ICIF (gratuito, em inglês ou em português).
.
• [site oficial] FAQ (Frequently Asked Questions) – COSO Internal Control-Integrated Framework
.
• [site oficial] Poster of Internal Control – Integrated Framework Principles
.
• [site oficial] The 2013 COSO Framework & SOX Compliance: One Approach to an Effective Transition
.
• [site oficial] Documentos com orientações sobre Governança e Desempenho Operacional, Controle Interno, Gestão de
Riscos Corporativos (ERM) e Fraudes
.
• [framework] Internal Control – Integrated Framework: inclui o Sumário Executivo, Estrutura e Apêndices e Ferramentas
Ilustrativas para Avaliação da Eficácia de um Sistema de Controle Interno (conjunto de 3 volumes) (pago, em inglês, via
AICPA).
.
• [framework] Internal Control – Integrated Framework, Internal Control Over External Financial Reporting: Um
compêndio de abordagens e exemplos (pago, em inglês, via AICPA).
.
• [framework] Internal Control – Integrated Framework and Compendium Bundle (pago, em inglês, via AICPA).
5) Referências
• Imagem utilizada como capa desta postagem: Scott Graham (via banco de imagens Unsplash)
.
• COSO ICIF (Internal Control – Integrated Framework)
.
• Normativos do Banco Central do Brasil
.
• Auditing: A Risk Based-Approach (Audrey A. Gramling, Larry E. Rittenberg, Karla M. Johnstone)