Usando o COSO para Atender A Resolução BACEN de Controles Internos (Res. CMN 4.9682021)

Tiago Souza.
Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles
Usando o COSO para atender a Resolução BACEN de Controles Internos (Res.

CMN 4.968/2021)
Em Riscos & Processos
Neste artigo, falaremos sobre como o COSO pode ser usado para atender a Resolução do BACEN de Controles Internos.
A Resolução CMN nº 4.968 de 25/11/2021 aborda sobre os sistemas de controles internos das instituições supervisionadas
pelo Banco Central do Brasil. Vou apresentar as partes conceituais para que a compreensão do conteúdo mais hands-
on (parte prática) fique mais fácil e você consiga aplicá-lo ao seu contexto.
Como abordagem, vou apresentar no artigo um cruzamento entre as exigências da Resolução de Controles Internos (os
artigos, incisos e as alíneas) com os componentes, princípios e pontos focais do COSO. Dessa forma, o profissional de
Controles Internos poderá enxergar o como fazer, desmistificando o caminho da conformidade.
Devido ao tema e ênfase que estou dando, será um artigo mais longo e detalhado.
Caso você já saiba sobre COSO e queira ir direto ao ponto, veja o tópico que o conecto com a resolução BACEN.
0. Algumas informações úteis antes de começarmos
Antes de iniciarmos com o conteúdo, é importante esclarecer alguns pontos para que você esteja ciente:
1. Não existe uma “receita de bolo” ou uma “bala de prata” que, com poucos cliques ou ações, atingirá a conformidade com
a referida resolução.
.
2. Da mesma forma, o conteúdo desse artigo deve ser visto como um apoio técnico, não como uma única forma de atingir o
objetivo da regulação. Meu propósito com esse artigo não é oferecer uma “consultoria gratuita com uma solução certeira
para tudo e todos”, cabe ao profissional de Controles Internos avaliar o que faz sentido (ou não) e adaptar de acordo com
a necessidade.
.
3. Não existe verdade absoluta, e cada empresa… é uma empresa. É fundamental que a estrutura do COSO seja adotada e
adaptada de acordo com a realidade de cada um, e isso envolve perfil de risco, aspectos culturais da empresa,
engajamento das pessoas com a cultura de riscos e controles, tamanho da empresa, quantidade de pessoas e mais uma
dezena de outros itens.
.
4. Utilizar o COSO não é como um projeto, que possui um “início e fim definido”. Trata-se de um processo contínuo, que
permitirão evoluir cada vez mais o ambiente de controle da companhia e observar sinais de alerta antecipados sobre
mudanças no ambiente operacional e que podem afetar o sistema de controles internos.
.
5. Antes de ir direto ao ponto com a Resolução CMN nº 4.968, precisarei explicar sobre o COSO (e COSO ICIF), sua
estrutura, seus componentes, seus princípios e pontos focais, o que significa que um componente e princípio está
“presente e funcionando” (são duas coisas, veremos mais adiante no artigo), entre outros conceitos importantes e
necessários.
.
6. Por mais que eu tente explicar da maneira mais didática possível, talvez possa ser necessário um certo conhecimento do
COSO para melhor aproveitamento na aplicação prática dentro da instituição.
1) Controle? Controles Internos? O que é isso?
Um controle é qualquer mecanismo de prevenção de perdas. No mundo corporativo, definimos como qualquer ação ou
atitude tomada pela Corporação para gerir os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos
sejam alcançados.
Um controle interno é um processo conduzido pela estrutura de governança*, pela administração e por outros profissionais
da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade, (seja este automatizado ou manual).
* A expressão “estrutura de governança” abrange o órgão deliberativo, como conselho de administração, conselho consultivo,
sócios, proprietários ou conselho supervisor.
O controle interno é um processo efetuado pelo conselho de administração, gerência ou outro pessoal de uma entidade,
desenvolvido para prover avaliação razoável com relação ao atingimento dos objetivos relativos a operações, reporte e
conformidade.
Esta definição enfatiza que o controle interno:
• É voltado para o atingimento de objetivos em uma ou mais categorias, separadas mas sobrepostas – operações, reporte
e conformidade.
.
• É um processo de tarefas e atividades contínuas (um meio para um fim, não um fim em si).
.
• É aplicado por pessoas – não apenas sobre políticas ou manuais de procedimentos, sistemas e formulários, mas sobre
pessoas e as ações tomadas por elas em todos os níveis de uma organização, para aplicar o controle interno.
.
• É capaz de fazer uma avaliação razoável – mas não absoluta, à alta administração e ao conselho de administração de uma
entidade.
.
• É adaptável à estrutura da entidade – flexível na aplicação à entidade ou a uma subsidiária, divisão, unidade operacional
ou processo de negócio em particular.
O controle interno não é um processo em série, mas sim um processo dinâmico e integrado. O framework se aplica a todas
as entidades de grande, médio e pequeno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada
organização, entretanto, pode escolher implementar o controle interno de forma diferente.
1.1) Controles Internos São Mesmo Necessários?
Os controles internos são necessários uma vez que toda e qualquer organização se defronta com riscos significativos,
variando desde a falência da empresa, a má utilização dos ativos da empresa, a preparação incorreta ou incompleta de
relatórios financeiros ou de informações não financeiras relevantes. Controles internos são projetados justamente para
mitigar esse tipo de risco.
Por exemplo, uma empresa que não prepara informações financeiras precisas não só se apresenta incorretamente ao público,
mas, com a mesma importância, também não é capaz de tomar boas decisões na gestão de suas atividades.
Assim, podemos afirmar que os controles internos existem para atenuar (diminuir, mitigar) ameaças à consecução de
objetivos. A única maneira de avaliar a qualidade de um controle é considerar o grau pelo qual ele reduz as ameaças à
conquista dos objetivos da organização em um nível aceitável.
Sob o prisma de uma auditoria, quanto mais alta a qualidade do controle interno, menor o risco de controle e, portanto, mais
o auditor pode confiar na qualidade dos controles internos ao formular um parecer sobre as demonstrações financeiras de
uma organização.
Assim como uma empresa baseia-se nos princípios de contabilidade geralmente aceitos para determinar se as suas
demonstrações financeiras são apresentadas de maneira fidedigna, ela também precisa se referir a um arcabouço abrangente
de controle interno para suportar adequadamente suas operações, e é neste momento que conectamos o “plug” com a
estrutura do COSO.
1.2) Controles Internos e as Instituições do Mercado Financeiro
Cada vez mais, as instituições necessitam de mecanismos de controles internos eficientes e eficazes para proporcionar
segurança razoável ao mercado e públicos.
Nesse sentido, ao longo dos últimos anos, o BACEN tem editado diversos atos normativos, como por exemplo, a Resolução
2.554/1998 (sobre a implantação e implementação de sistema de controles internos); Resolução 3.921/2010 (sobre a política
de remuneração de administradores); Resolução 4.557/2017 (sobre a estrutura de gerenciamento de riscos, a estrutura de
gerenciamento de capital e a política de divulgação de informações); Resolução 4.595/2017 (sobre a política de
conformidade); Resolução 4.879/2020 (sobre auditoria interna); Resolução 4.878/2020 (sobre a política de sucessão de
administradores), entre outros.
O conjunto desses normativos, associados a outros, constituem o alicerce das boas práticas de governança corporativa no
âmbito do Sistema Financeiro Nacional, formando assim um robusto conjunto de regras de governança e de gerenciamento
de riscos.
Atento aos movimentos de mercado e a crescente necessidade de aprimoramentos dos controles internos para responder
aos eventos de riscos, o Banco Central do Brasil (BACEN) e o Conselho Monetário Nacional seguem aprimorando o arcabouço
regulatório que disciplina a governança corporativa das instituições, em consonância com as melhores práticas
internacionais e com o objetivo de assegurar a solidez e a eficiência do Sistema Financeiro Nacional.
Dessa forma, em 25/11/2021, o BACEN publicou a Resolução CMN nº 4.968/2021, atualizando e aprimorando algumas regras
concernentes aos sistemas de controles internos, buscando um maior nível de aderência das normas internas às melhores
práticas reconhecidas internacionalmente, em especial as previstas nas publicações de Basileia e no próprio framework do
COSO, intitulado Internal Control – Integrated Framework. Está em vigor desde 01/01/2022 e tendo, inclusive, revogado o
normativo anterior (Resolução CMN nº 2.554/1998).
A nova Resolução CMN nº 4.968/2021 têm orientado os gestores quanto às boas práticas que devem ser adotadas para
implantação e manutenção de um sistema de controles internos efetivo. Além disso, a resolução também aprimora as
responsabilidades atribuídas à alta administração, especialmente ao conselho de administração, assim como detalha as
responsabilidades da Diretoria da empresa. Prevê, ainda, que as instituições devem designar diretor responsável pelos
assuntos de controles internos, podendo desempenhar outras funções na companhia, desde que não haja conflito de
interesse (essa obrigação da designação vigorará a partir de 01/01/2023).
2) COSO: Origens
O COSO (ou Comitê das Organizações Patrocinadoras da Comissão Treadway) é um grupo consultivo que projeta estruturas
para ajudar as organizações com questões de gerenciamento de risco. Uma de suas estruturas mais populares é a estrutura
COSO para um controle interno eficaz.
Quanto às suas origens, a estrutura de controle interno do COSO foi introduzida pela primeira vez em 1992; uma versão
revisada e mais moderna chegou em 2013, chamada de COSO ICIF, ou COSO ICF (COSO Internal Control Integrated
Framework). Talvez a imagem mais conhecida da estrutura seja o famoso cubo do COSO, que é um diagrama tridimensional
que mostra como os vários elementos de um sistema de controle interno funcionam juntos. Aplicável tanto a relatórios
financeiros externos quanto a atividades de controle interno, a estrutura COSO se concentra nas inter-relações
entre stakeholders e processos.
Trata-se do modelo utilizado como base para estruturas de controles internos mais utilizado globalmente (o próprio The IIA
manifesta sua preferência por este modelo). É uma organização dedicada à melhoria na qualidade das informações
financeiras através da ética nos negócios, controles internos eficazes e governança corporativa.
2.1) Objetivos do COSO
De acordo com o COSO, controle interno é definido como um processo implantado pelo conselho de administração,
estrutura de governança, pelos executivos e outras pessoas em uma entidade, destinado a dar razoável segurança a respeito
do alcance de objetivos nas seguintes categorias:
1. Eficácia e eficiência das operações;

2. Confiabilidade da divulgação financeira e informações não financeiras e;
3. Conformidade e cumprimento das leis e normas aplicáveis.
Esses objetivos procuram auxiliar a organização a atingir seus propósitos mais importantes, ou seja, implantar com sucesso
as estratégias corporativas para obter retornos para os acionistas. Os objetivos de controle visam auxiliar a organização a
garantir que possui operações eficazes e eficientes relacionadas à sua estratégia geral, que suas atividades estão de acordo
com as leis e normas regulatórias aplicáveis, que protege seus ativos contra roubo e fraude e que prepara informações
financeiras precisas para fins de tomada interna de decisões e divulgação externa à comunidade de investidores.
Há outros elementos importantes na definição. O controle interno:
• É um processo que visa permitir a consecução dos objetivos da organização;

.
• Parte do topo da organização, como o conselho de administração e os altos executivos e diretores, que criam e reforçam
uma estrutura e um clima para o uso de controles na organização;
.
• Direta ou indiretamente inclui todas as pessoas na organização, desde o funcionário executor de uma atividade
operacional com insumos ao auditor interno, ao diretor financeiro;
.
• É mais amplo do que o controle interno da divulgação financeira;
.
• O controle interno é aplicado a todas as atividades da organização, desde as áreas funcionais, às divisões de uma
empresa, até às inter-relações que essa empresa possui.
2.2) Framework do COSO Controles Internos (COSO ICIF)
O COSO possui várias publicações, mas nesse artigo, meu foco e ênfase serão direcionados ao COSO I, ou COSO ICIF, ou
ainda COSO ICF, que é conhecido como Internal Control – Integrated Framework. Sua finalidade é apoiar o alcance dos
objetivos organizacionais, a emissão de relatórios confiáveis e tempestivos e a conformidade com as normas pertinentes ao
negócio.
Compreender a estrutura do COSO pode trazer benefícios significativos às organizações. Ele fornece orientação sobre
controles internos e como as organizações devem estabelecer controles em todo o seu ambiente. Um sistema sólido de
controles internos fornece garantia razoável de que a organização opera de forma ética, transparente e alinhada com os
padrões estabelecidos do setor.
Os conceitos atemporais do framework são: controles internos é um processo afetado por pessoas; fornece garantia razoável;
e está voltado para o alcance de objetivos relacionados a operações, divulgação e compliance.
A estrutura COSO classifica os objetivos de controle interno nos três grupos a seguir:
• Os objetivos operacionais incluem medidas de desempenho e proteção dos ativos da organização contra fraudes. Eles se
concentram na eficácia e eficiência das transações, e também incluem conformidade com políticas e procedimentos
internos.
.
• Os objetivos de divulgação, incluindo relatórios financeiros internos e externos e informações não financeiras, referem-
se à transparência, pontualidade e confiabilidade dos relatórios da organização.
.
• Os objetivos de conformidade são metas de controle interno baseadas na adesão às leis governamentais e conformidade
com leis e regulamentos externos.
2.3) Principais Benefícios na Adoção do COSO

Aplicar o COSO e os seus princípios ajudam a fortalecer e a sustentar um ambiente de controles adequado e eficaz. Logo, a
implementação de controles internos eficazes e com uma estrutura coesa podem trazer muitos benefícios, incluindo, mas
não se limitando a:
• Alinhar os esforços de TI e os dados da organização com suas políticas de governança;

.
• Melhorar a qualidade, utilidade, confiabilidade e comparabilidade dos dados;
.
• Entregar dados de tomada de decisão para gerenciamento interno, investidores externos, provedores de recursos e
outras partes interessadas;
.
• Fortalecer o entendimento da organização sobre seus riscos relevantes e as oportunidades de mitigação;
.
• Apoiar a transparência, eficiência e eficácia requeridas;
.
• Fornecer acesso mais fácil ao capital, especialmente para investidores de longo prazo, a um custo de capital
significativamente menor.
Esses benefícios serão alcançados por organizações que alinham seus esforços com suas estratégias de negócios, pois estão
focadas nas questões que têm os efeitos mais tangíveis. Métricas vinculadas a um sistema eficaz de controles internos
fornecem às empresas e suas partes interessadas inteligência empresarial para apoiar a tomada de decisões, gerenciar a
produção e alocar recursos.
2.4) Os Cinco Componentes do COSO Controles Internos
Os cinco componentes do COSO controles internos são os seguintes:
1. Ambiente de Controle: cria uma abordagem de cima para baixo (“top down”) para conduzir o framework do COSO por
toda a organização. Consiste em um conjunto de padrões, processos e procedimentos que são supervisionados e
aplicados pela administração. O estabelecimento de controles em todo o ambiente garante que as práticas padrão e os
valores éticos sejam usados em toda a organização.
.
2. Avaliação de Riscos: todas as organizações têm riscos e estão expostas a fatores que fazem com que não atinjam seus
objetivos. As avaliações de risco são realizadas para avaliar fatores internos e externos. As avaliações fornecem uma
garantia razoável de que as organizações estão gerenciando os riscos com uma tolerância aceitável.
.
3. Atividades de Controle: as atividades de controle são tomadas para mitigar o risco em todos os níveis da organização.
O framework do COSO ajuda a garantir que as atividades de controle realizadas pelos membros da organização sejam
eficazes para que a empresa atinja seus objetivos e trate os riscos.
.
4. Informação e Comunicação: os controles fornecidos pelo COSO ajudam a garantir que ocorra uma adequada
comunicação. Isso inclui usar uma linguagem consistente e seguir as melhores práticas para compartilhar níveis
apropriados de informações com as partes interessadas adequadas. Revisões de negócios formais de gerenciamento e
reuniões com todos os funcionários, bem como bate-papos e e-mails informais se enquadram nesse componente.
.
5. Atividades de Monitoramento: o monitoramento contínuo e as auditorias internas de todos os sistemas de controle
interno identificam os primeiros sinais de problemas e garantem a eficácia. Métricas e relatórios são fornecidos à
administração e ao conselho de administração para uma avaliação contínua. As informações coletadas e avaliadas por
reguladores e auditores verificam as atividades de controle. As auditorias de relatórios financeiros também ajudam na
prevenção de fraudes.
O controle interno é um processo que obedece a uma estrutura lógica ligada ao atingimento dos objetivos da organização. As
instituições identificam os riscos associados à consecução desses objetivos e implantam diversos processos para controlar
e/ou mitigar essas ameaças.
2.5) Controle Interno Eficaz de Acordo com o COSO
A estrutura de controle interno do COSO ICIF possui 17 (dezessete) princípios para apoiar os 5 (cinco) componentes e os 3
(três) objetivos do sistema de controle interno.
De acordo com o COSO, um sistema eficaz de controle interno requer cada um dos cinco componentes e princípios
relevantes estejam presentes e funcionando. Além disso, os cinco componentes devem operar juntos e de maneira
integrada.
É crucial entender as definições do COSO relacionados aos termos:
• “Presente” refere-se à determinação de que o componente e os princípios relevantes existem no desenho e na

implementação do sistema de controle interno para realizar os objetivos especificados. Ou seja, os componentes e
princípios foram projetados e implantados através de controles.
.
• “Em funcionamento” refere-se à determinação de que os componentes e princípios relevantes continuam a existir nas
operações e condução dos controles internos ao longo do tempo. Ou seja, continua a existir na aplicação do controle.
.
• “Operar juntos” refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível
aceitável o risco de não se atingir o objetivo.
Ao verificar se um componente está presente e funcionando, a alta administração, com a supervisão da estrutura de
governança, precisa determinar até que ponto os princípios relevantes estão presentes e funcionando. Entretanto, o fato de
um princípio estar presente e funcionando não significa que a organização se esforce para buscar o mais alto nível de
desempenho na aplicação desse princípio em particular. Ao contrário, a administração exercerá julgamento na ponderação
dos custos e benefícios do desenvolvimento, da implementação e da aplicação do controle interno.
Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um componente ou princípio
relevante, ou com respeito à operação conjunta dos componentes de uma forma integrada, a organização não pode concluir
que já possui um sistema eficaz de controle interno.
Vamos a um exemplo para consolidar o conhecimento?
Tabela 1: Avaliação da presença e funcionamento de princípio do COSO na empresa
Breve descrição do cenário

A empresa ACME é uma fabricante de componentes eletrônicos de capital aberto, com oito divisões. Possui sede na
hipotético da empresa
Europa e com unidades de fabricação e varejo na Europa e América Latina.
avaliada:
Componente avaliado: Avaliação de Riscos.
Princípio 7 - Identifica e analisa riscos: a organização identifica os riscos à realização de seus objetivos por toda a
Princípio avaliado:
entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
Este princípio está

Sim
presente na empresa?
Este princípio está

Não
funcionando na empresa?
Esse princípio foi avaliado em cada unidade e uma deficiência de controle interno foi observada na “Unidade
Bruxelas”, pois o processo para analisar os riscos a fim de determinar como eles devem ser gerenciados não está
funcionando.
Foram selecionados e desenvolvidos controles detalhados (isto é, políticas e procedimentos escritos), mas eles não
Explicação / conclusão da foram aplicados.
avaliação:
Os riscos não estão sendo analisados com eficácia para avaliar a sua importância e determinar como eles devem ser
gerenciados.
A análise dos processos de avaliação de riscos nas outras unidades da empresa revelou que eles estavam presentes
e funcionando.
Conseguiu perceber a diferença na prática? Ou seja, de que adianta ter (existir) políticas e procedimentos escritos se não são
seguidos e aplicados na empresa?
3) Resolução BACEN de Controles Internos (Res. CMN nº 4.968/2021 e o COSO)
Agora que percorremos as principais informações acerca do COSO (e do COSO ICIF), estamos preparados para dar o próximo
passo, que é conectá-lo com os requisitos da Resolução CMN nº 4.968, que aborda sobre o sistema de controles internos que
as instituições reguladas pelo Banco Central do Brasil devem possuir.
Para começarmos, vamos pegar o Art. 3º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles
Internos”, na “Seção I – Da Obrigatoriedade e dos Objetivos”:
Tabela 2: Relação da finalidade dos controles internos conforme resolução 4.968 x referência no COSO ICIF:
REFERÊNCIAS NO COSO
REQUERIMENTOS DA RESOLUÇÃO 4.968/2021
ICIF
CAPÍTULO II - DOS SISTEMAS DE CONTROLES INTERNOS
Seção I - Da Obrigatoriedade e dos Objetivos ***
Art. 3º Os sistemas de controles internos devem ter como finalidade o atingimento dos objetivos de:
I - desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas; Objetivos operacionais
II - informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras,

Objetivos de divulgação
operacionais e gerenciais, que sejam úteis para o processo de tomada de decisão; e
III - conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e

Objetivos de conformidade
códigos internos.
Viu como os objetivos se entrelaçam?

3.1) Elementos da Resolução 4.968/21 versus Componentes do COSO ICIF
Agora, vamos seguir em frente. Pegamos agora o Art. 5º da Resolução CMN nº 4.968 e os seus cinco incisos e os
correlacionamos com os cinco componentes equivalentes do COSO ICIF:
Tabela 3: Relação entre as características dos controles da Resolução 4.968 x componentes do COSO ICIF
ELEMENTOS DA RESOLUÇÃO 4.968/2021 COMPONENTES DO COSO ICIF
CAPÍTULO II - DOS SISTEMAS DE CONTROLES INTERNOS
Seção II - Das Características Essenciais ***
Art. 5º Os sistemas de controles internos devem prever:
I - quanto aos aspectos relacionados à cultura de controle. Ambiente de Controle
II - quanto aos aspectos relacionados à identificação e à avaliação de riscos. Avaliação de Riscos
III - quanto aos aspectos relacionados às atividades de controle e segregação de funções. Atividades de Controle
IV - quanto aos aspectos relacionados à informação e à comunicação. Informação e Comunicação
V - quanto aos aspectos relacionados ao monitoramento. Monitoramento

Percebeu a sinergia e relacionamento entre o normativo e o COSO ICIF?
Só a título de informação e curiosidade (mesmo porque está revogada desde 01/01/2022), você também podia visualizar essa
correlação com o COSO observando a Circular nº 3.467/2009, que estabelecia critérios para elaboração dos relatórios de
avaliação da qualidade e adequação do sistema de controles internos e de descumprimento de dispositivos legais e
regulamentares.
3.2) Requerimentos da Resolução 4.968/21 (cultura) versus Referências do COSO ICIF
Agora que você já viu, de forma macro, o relacionamento entre os incisos de I a V do Art. 5º da Resolução CMN nº 4.968 (o
que os sistemas de controles internos devem prever) com os cinco elementos do COSO, vamos explorar cada um deles?
Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos
voltados à cultura de controle versus os princípios do COSO que você pode utilizar para endereçá-los.
Para fins de padronização das terminologias usadas nas tabelas mais abaixo, cabe frisar que nelas haverão as seguintes
informações:
• Componentes: os componentes representam o que é necessário para atingir os objetivos (são cinco componentes de
acordo com o COSO).
.
• Princípios: são conceitos fundamentais associados aos componentes. Os princípios são características importantes dos
componentes. Os controles fornecem evidências de que os princípios relevantes estão funcionando na companhia.
.
• Pontos focais do princípio: são características importantes dos princípios e auxiliam no desenho, implantação ou
aplicação do princípio. Nas tabelas a seguir, os pontos focais foram listados através de marcadores romanos (i, ii, iii etc.),
logo abaixo dos princípios que estão associados. Os pontos de foco e os controles estão sujeitos a julgamentos da
administração.
Tabela 4: Relação entre requerimentos do BACEN (cultura de riscos e controles) versus referências do COSO ICIF
REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS
Seção II – Das Características Essenciais ***
I – quanto aos aspectos relacionados à cultura de controle – Componente: Ambiente de Controle

– Princípio 2: A estrutura de governança demonstra independência em relação
aos seus executivos e supervisiona o desenvolvimento e o desempenho do
controle interno.
(i) Estabelecer as responsabilidades pela supervisão;
(ii) Utilizar experiências relevantes (membros devem estar capacitados a
questionar e tomar ações compatíveis);
(iii) Operar de forma independente (membros independentes em número
suficiente e objetivos);
(iv) Exercer a supervisão do sistema de controle interno (desenho,
implementação e aplicação dos 5 componentes pela administração).
– Princípio 3: A administração estabelece, com a supervisão da estrutura de

governança, as estruturas, os níveis de subordinação e as autoridades e
responsabilidades adequadas na busca dos objetivos.
(i) Considerar todas as estruturas da entidade;
a) definição das responsabilidades dos funcionários nos
(ii) Estabelecer linhas de subordinação;
sistemas de controles internos e dos respectivos meios para o
(iii) Definir, atribuir e limitar autoridades e responsabilidades:
seu eficaz cumprimento;
a. Estrutura de governança;
b. Alta administração;
c. Administração (Supervisores/Gestores);
d. Equipe (Staff);
e. Prestadores de serviços terceirizados.
– Princípio 4: A organização demonstra comprometimento para atrair,

desenvolver e reter talentos competentes, em linha com seus objetivos.
(i) Estabelecer políticas e práticas (definição de competências necessárias);
(ii) Avaliar a competência e tratar as deficiências (na organização e prestadores
de serviços);
(iii) Atrair, desenvolver e reter talentos (aconselhamento e treinamento;
recursos suficientes e competentes);
(iv) Planejar e preparar a sucessão (planos devem ser desenvolvidos pela alta
administração e estrutura de governança).
– Princípio 1: A organização demonstra ter comprometimento com a integridade
e os valores éticos.
(i) Liderar pelo exemplo.
(ii) Estabelecer normas de conduta.
(iii) Avaliar a adesão às normas de conduta.
(iv) Tratar decisões de forma oportuna.
– Princípio 2: A estrutura de governança demonstra independência em relação

aos seus executivos e supervisiona o desenvolvimento e o desempenho do
controle interno.
(i) Estabelecer as responsabilidades pela supervisão;
(ii) Utilizar experiências relevantes (membros devem estar capacitados a
b) obrigatoriedade de comunicação tempestiva ao adequado
questionar e tomar ações compatíveis);
nível gerencial, por parte dos funcionários, de:
(iii) Operar de forma independente (membros independentes em número
suficiente e objetivos);
1. problemas nas operações;
(iv) Exercer a supervisão do sistema de controle interno (desenho,
implementação e aplicação dos 5 componentes pela administração).
2. situações de não conformidade com os padrões de conduta
definidos pela instituição; e
– Princípio 3: A administração estabelece, com a supervisão da estrutura de
governança, as estruturas, os níveis de subordinação e as autoridades e
3. violações das políticas da instituição ou de disposições legais
responsabilidades adequadas na busca dos objetivos.
e regulamentares;
(i) Considerar todas as estruturas da entidade;
(ii) Estabelecer linhas de subordinação;
(iii) Definir, atribuir e limitar autoridades e responsabilidades:
a. Estrutura de governança;
b. Alta administração;
c. Administração (Supervisores/Gestores);
d. Equipe (Staff);
e. Prestadores de serviços terceirizados.
– Princípio 14: A organização transmite internamente as informações

necessárias para apoiar o funcionamento do controle interno, inclusive os
objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e
condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e
estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial
quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando
tempestividade, público e natureza).
– Princípio 5: A organização faz com que as pessoas assumam responsabilidade

por suas funções de controle interno na busca pelos objetivos.
(i) Exigir a prestação de contas por meio de estruturas, autoridades e
responsabilidades (comunica, obriga a prestar contas, implementa ações
corretivas);
(ii) Estabelecer métricas, incentivos e recompensas de desempenho;
(iii) Avaliar continuamente a relevância de métricas, incentivos e recompensas
de desempenho;
c) proibições de estabelecimento de metas de desempenho que
(iv) Considerar pressões excessivas (avaliar e ajustar);
incentivem a tomada de riscos em desacordo com os níveis
(v) Avaliar o desempenho e recompensar ou aplicar ações disciplinares às
determinados pela alta administração;
pessoas.
– Princípio 8: A organização considera o potencial para fraude na avaliação dos

riscos à realização dos objetivos.
(i) Considerar os vários tipos de fraude;
(ii) Avaliar incentivos e pressões;
(iii) Avaliar oportunidades;
(iv) Avaliar atitudes e racionalizações.

d) formalização do compromisso com a ética e com a
integridade, incluindo o cumprimento do código de ética ou de
documento equivalente;

– Princípio 14: A organização transmite internamente as informações

necessárias para apoiar o funcionamento do controle interno, inclusive os
e) divulgação do código de ética ou documento equivalente;
(i) Comunicar as informações de controle interno (para entendimento e
condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e
estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial
quando canais normas estão inoperantes ou são ineficazes).
O ambiente de controle de uma empresa é complexo, e sua avaliação geralmente alguma subjetividade.
Vamos em frente?
3.3) Requerimentos da Resolução 4.968/21 (riscos) versus Referências do COSO ICIF
voltados à identificação e avaliação de riscos versus os princípios do COSO que você pode utilizar para endereçá-los:
Tabela 5: Relação entre requerimentos do BACEN (riscos) versus referências do COSO ICIF
II – quanto aos aspectos relacionados à identificação e à avaliação de riscos: – Componente: Avaliação de Riscos
– Princípio 6: A organização especifica os objetivos com clareza

suficiente, a fim de permitir a identificação e a avaliação dos riscos
associados aos objetivos.
(i) Objetivos operacionais;
a) meios para identificar e avaliar continuamente os fatores internos e (ii) Objetivos de divulgação financeira externa;
externos que possam afetar adversamente a realização dos objetivos da (iii) Objetivos de divulgação não financeira externa;
instituição e, quando aplicável, do grupo econômico que esta integra; (iv) Objetivos de divulgação interna;
(v) Objetivos de conformidade.
– Princípio 7: A organização identifica os riscos à realização de seus

objetivos por toda a entidade e analisa os riscos como uma base para
determinar a forma como devem ser gerenciados.
(i) Incluir os níveis de entidade, subsidiária, divisão, unidade
operacional e áreas funcionais;
(ii) Analisar fatores internos e externos;
(iii) Envolver os níveis apropriados da administração;
(iv) Estimar a importância dos riscos identificados;
(v) Determinar como responder aos riscos.
– Princípio 9: A organização identifica e avalia as mudanças que

poderiam afetar, de forma significativa, o sistema de controle
interno.
(i) Avaliar mudanças no ambiente externo (ex.: Regulatório,
Econômico, Físico [desastres naturais]).
(ii) Avaliar mudanças no modelo de negócios (ex.: nova linha,
aquisições, operações no exterior, rápido crescimento, nova
tecnologia incorporada.
(iii) Avaliar mudanças na liderança (filosofia diferente).
– Princípio 9: A organização identifica e avalia as mudanças que

poderiam afetar, de forma significativa, o sistema de controle
interno.
(i) Avaliar mudanças no ambiente externo (ex.: Regulatório,
Econômico, Físico [desastres naturais]).
(ii) Avaliar mudanças no modelo de negócios (ex.: nova linha,
b) revisão e atualização periódica dos sistemas de controles internos, com a
aquisições, operações no exterior, rápido crescimento, nova
inclusão de medidas relacionadas a riscos novos ou não abordados
tecnologia incorporada.
anteriormente;
(iii) Avaliar mudanças na liderança (filosofia diferente).
– Princípio 16: A organização seleciona, desenvolve e realiza

avaliações contínuas e/ou independentes para se certificar da
presença e do funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e
independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação
externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e
situação atual);
(iv) Utilizar pessoal com conhecimento;
(v) Integrar aos processos de negócios;
(vi) Ajustar o escopo e a frequência;
(vii) Avaliar objetivamente.
– Princípio 6: A organização especifica os objetivos com clareza

suficiente, a fim de permitir a identificação e a avaliação dos riscos
associados aos objetivos.
(i) Objetivos operacionais;
(ii) Objetivos de divulgação financeira externa;
(iii) Objetivos de divulgação não financeira externa;
(iv) Objetivos de divulgação interna;
(v) Objetivos de conformidade.
c) medidas para mitigação dos riscos não tolerados e não controlados; e
– Princípio 7: A organização identifica os riscos à realização de seus
objetivos por toda a entidade e analisa os riscos como uma base para
determinar a forma como devem ser gerenciados.
(i) Incluir os níveis de entidade, subsidiária, divisão, unidade
operacional e áreas funcionais;
(ii) Analisar fatores internos e externos;
(iii) Envolver os níveis apropriados da administração;
(iv) Estimar a importância dos riscos identificados;
(v) Determinar como responder aos riscos.
– Princípio 8: A organização considera o potencial para fraude na

d) análise do potencial de ocorrência de fraudes nas atividades
avaliação dos riscos à realização dos objetivos.
desenvolvidas em todos os níveis de negócios;
Percebe como o COSO está intimamente ligado e pode ser nosso grande aliado?
3.4) Requerimentos da Resolução 4.968/21 (controles) versus Referências do COSO ICIF
Agora, vamos partir para o próximo elemento. Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à
previsão dos sistemas de controles internos voltados às atividades de controle e segregação de funções versus os princípios
do COSO que você pode utilizar para endereçá-los:
Tabela 6: Relação entre requerimentos do BACEN (controles) versus referências do COSO ICIF

III – quanto aos aspectos relacionados às atividades de controle e segregação de
– Componente: Atividades de Controle
funções:
– Princípio 12: A organização estabelece atividades de

controle por meio de políticas que estabelecem o que é
esperado e os procedimentos que colocam em prática essas
políticas.
(i) Estabelecer políticas (o que é esperado) e procedimentos
(ações) para apoiar a implementação das diretrizes da
administração;
a) políticas e procedimentos de controle, bem como a verificação do seu
(ii) Estabelecer responsabilidade e prestação de contas pela
cumprimento;
execução das políticas e procedimentos;
(iii) Realizar tempestivamente (tempo hábil, conforme
definido);
(iv) Tomar ações corretivas (investiga e atua);
(v) Realizar recorrendo a pessoal competente;
(vi) Reavaliar políticas e procedimentos (quanto a contínua
relevância e atualização).
– Princípio 10: A organização seleciona e desenvolve

atividades de controle que contribuem para a redução, a
níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar
respostas);
(ii) Considerar fatores específicos à entidade (ambiente,
b) revisão e acompanhamento de atividades relevantes pelos adequados níveis
complexidade, natureza e escopo de operações…);
gerenciais;
(iii) Determinar os processos de negócios relevantes (quais
requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle
(manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são
realizadas (nível de transações ou nível mais alto) (ex.:
Compras [variações]; Anal. de Desemp. de Neg. [real x
orçado]);
(vi) Abordar a segregação de funções (ou alternativas de
controle quando não é possível).

atividades gerais de controle sobre a tecnologia para apoiar a
realização dos objetivos.
(i) Determinar a dependência entre o uso da tecnologia nos
processos de negócios e os controles gerais de tecnologia (AC
automatizadas e controles gerais);
(ii) Estabelecer atividades de controle sobre a infraestrutura
c) controles de atividades apropriados para os diferentes departamentos ou áreas
de tecnologia relevante (assegurar a completude, exatidão e
de negócios;
disponibilidade);
(iii) Estabelecer atividades de controle sobre os processos
relevantes de gerenciamento de segurança (restringir direitos
de acesso e proteger ativos contra ameaças externas);
(iv) Estabelecer atividades de controle sobre os processos
relevantes de aquisição, desenvolvimento e manutenção de
tecnologia (a fim de realizar os objetivos).

respostas);
d) controles físicos de ativos de valor, como acesso restrito, dupla custódia e
inventários periódicos;
orçado]);
– Princípio 12: A organização estabelece atividades de

controle por meio de políticas que estabelecem o que é
esperado e os procedimentos que colocam em prática essas
políticas.
(i) Estabelecer políticas (o que é esperado) e procedimentos
(ações) para apoiar a implementação das diretrizes da
administração;
e) verificação do cumprimento dos limites de exposição e acompanhamento das
(ii) Estabelecer responsabilidade e prestação de contas pela
situações de não conformidades;
execução das políticas e procedimentos;
(iii) Realizar tempestivamente (tempo hábil, conforme
definido);
(iv) Tomar ações corretivas (investiga e atua);
(v) Realizar recorrendo a pessoal competente;
(vi) Reavaliar políticas e procedimentos (quanto a contínua
relevância e atualização).

f) sistema de aprovações e autorizações de transações sensíveis e de verificação e
respostas);
reconciliação;
orçado]);

respostas);
g) segregação apropriada das funções atribuídas aos integrantes da instituição, de
forma a evitar situações de conflito de interesses;
orçado]);

atividades gerais de controle sobre a tecnologia para apoiar a
realização dos objetivos.
(ii) Estabelecer atividades de controle sobre a infraestrutura
de tecnologia relevante (assegurar a completude, exatidão e
disponibilidade);
relevantes de gerenciamento de segurança (restringir direitos
de acesso e proteger ativos contra ameaças externas);

respostas);
h) identificação e monitoramento independentes de áreas que possuam potencial (iii) Determinar os processos de negócios relevantes (quais
conflito de interesses, com revisão periódica das responsabilidades e das funções requerem atividades de controle e se estão terceirizados);
que possam gerar conflitos dessa natureza; (iv) Avaliar a combinação de tipos de atividades de controle
orçado]);
i) controles que visem a evitar o envolvimento da instituição em atividades – Princípio 10: A organização seleciona e desenvolve
indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e atividades de controle que contribuem para a redução, a
climáticos; níveis aceitáveis, dos riscos à realização dos objetivos.
respostas);
orçado]);

respostas);
j) procedimentos e controles previstos na legislação e regulamentação vigentes,
visando à prevenção da utilização do sistema financeiro para a prática dos crimes
de “lavagem” ou ocultação de bens, direitos e valores, e de financiamento do
terrorismo; e
orçado]);
– Princípio 8: A organização considera o potencial para
fraude na avaliação dos riscos à realização dos objetivos.

respostas);
k) controles para prevenção, detecção, investigação e correção de fraudes;
orçado]);
Praticamente todas as fraudes relevantes financeiras já ocorridas estiveram associadas com organizações que possuíam
deficiências em seu ambiente de controle. Quer exemplos? WorldCom, Enron, Adelphia e instituições que sofreram com a
crise financeira, como Lehman Brothers, Merrill Lynch e Citi.
Aliás, você sabia que a Enron possuía um dos melhores códigos de ética “escritos” da época? Entretanto, o conselho de
administração costumeiramente anulava exigências envolvendo “conflitos de interesse”. Assim, permitiu que Andy Fastow,
tesouro da empresa, montasse entidades com fins específicos cuja única finalidade era inflacionar lucros ou esconder
prejuízos da empresa.
Controles são desenvolvidos para reduzir os riscos. Eles devem ser específicos aos riscos da organização e aos seus métodos
de processamento de transações. Não há um conjunto único de controles recomendados que devem ser utilizados por todas
as empresas. Há alguns, como o de segregação de funções e atividades, que podem ser comuns nas empresas, mas
implantados de maneiras distintas. Por isso é importante que a administração identifique e implante os controles mais
eficazes, em termos de custos e alinhados às suas necessidades, para lidar com riscos relevantes.
Além disso, as atividades de controle também se destinam a reduzir riscos associados a operações ineficazes ou ao
descumprimento de políticas regulatórias ou da empresa. Os riscos e controles associados a operações e cumprimento de
políticas comumente precisam ser considerados.
Note que o BACEN deixa, de maneira explícita, a menção a “segregação de funções”, e isso faz muito sentido devido a sua
relevância e impacto que pode causar se negligenciada. A segregação tem como finalidade proteger contra o risco que um
indivíduo possa perpetrar e encobrir uma fraude. Embora a segregação seja muito eficaz do ponto de vista de atenuar o risco,
ela pode ser anulada por meio de conluio entre os funcionários. As organizações de menor porte devem considerar outras
maneiras de atenuar o risco, pois geralmente não possuem pessoas suficientes para segregar plenamente todas as funções
(adotar um controle de revisão periódico da atividade pode ser uma alternativa).
Muitas das atividades importantes de controle baseiam-se em políticas, procedimentos e no comprometimento de

competência resultante do ambiente de controle da empresa.
3.5) Requerimentos da Resolução 4.968/21

(informação/comunicação) versus Referências do COSO ICIF
Surpreso até o momento em como as coisas estão conversando umas com as outras? Então continua aqui acompanhando.
voltados às informações e comunicações versus os princípios do COSO que você pode utilizar para endereçá-los:
Tabela 7: Relação entre requerimentos do BACEN (informação e comunicação) versus referências do COSO ICIF

IV – quanto aos aspectos relacionados à informação e à comunicação: – Componente: Informação e Comunicação
– Princípio 14: A organização transmite internamente as

informações necessárias para apoiar o funcionamento do
controle interno, inclusive os objetivos e responsabilidades pelo
controle.
(i) Comunicar as informações de controle interno (para
entendimento e condução de responsabilidades de controle
a) canais de comunicação efetivos que assegurem aos funcionários, segundo o
interno).
correspondente nível de atuação, o acesso a informações compreensíveis, confiáveis,
(ii) Comunicar-se com a estrutura de governança (entre a alta
tempestivas e relevantes para realização de suas tarefas e cumprimento de suas
administração e estrutura de governança para cumprir suas
responsabilidades;
funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e
confidencial quando canais normas estão inoperantes ou são
ineficazes).
(iv) Selecionar métodos de comunicação relevantes
(considerando tempestividade, público e natureza).

b) fluxos de informações adequados para que os objetivos, estratégias, expectativas,
controle.
políticas e procedimentos estabelecidos pelos superiores cheguem aos funcionários e as
informações relevantes sejam compartilhadas entre os componentes organizacionais;
interno).
funções).
ineficazes).
– Princípio 13: A organização obtém ou gera e utiliza

informações significativas e de qualidade para apoiar o
funcionamento do controle interno.
(i) Identificar os requisitos de informações (informações
necessárias para outros componentes e realização de objetivos);
(ii) Capturar fontes internas e externas de dados;
(iii) Processar dados relevantes em informações;
(iv) Manter a qualidade durante todo o processamento
(tempestiva, atual, exata, completa, acessível, protegida,
verificável e retida);
(v) Considerar custos e benefícios.
c) metodologias para o registro e a manutenção de informações internas à instituição,
como dados financeiros, operacionais e de conformidade;
controle.
interno).
funções).
ineficazes).

d) diretrizes para a utilização de fontes externas de informações e para a divulgação ao
– Princípio 15: A organização comunica-se com os públicos
público externo sobre eventos e condições de mercado relevantes para a tomada de
externos sobre assuntos que afetam o funcionamento do controle
decisão;
interno.
(i) Comunicar-se com públicos externos (forma estruturada para
informações relevantes).
(ii) Possibilitar o recebimento de comunicações (clientes,
fornecedores, auditores externos, órgãos reguladores, analistas
financeiros, …).
(iii) Comunicar-se com a estrutura de governança (resultado de
avaliações externas).
(iv) Fornecer linhas de comunicação independentes.
(v) Selecionar métodos de comunicação relevantes (de acordo
com tempestividade, público, natureza, requisitos e expectativas
legais, regulatórias e fiduciárias).

e) sistemas de informação confiáveis e as respectivas medidas de segurança e
monitoramento independente para sua manutenção;

f) requisitos relacionados ao adequado processamento de informações em formato
eletrônico e previsão de trilha de auditoria adequada;
– Princípio 16: A organização seleciona, desenvolve e realiza

avaliações contínuas e/ou independentes para se certificar da
presença e do funcionamento dos componentes do controle
interno.
(i) Considerar uma combinação de avaliações contínuas e
independentes;
g) testes periódicos de segurança para os sistemas de informações e de tecnologia; e
(ii) Considerar o ritmo das mudanças (exigências de divulgação
externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e
situação atual);
– Princípio 4: A organização demonstra comprometimento para

atrair, desenvolver e reter talentos competentes, em linha com
seus objetivos.
(i) Estabelecer políticas e práticas (definição de competências
necessárias);
(ii) Avaliar a competência e tratar as deficiências (na
organização e prestadores de serviços);
(iii) Atrair, desenvolver e reter talentos (aconselhamento e
treinamento; recursos suficientes e competentes);
(iv) Planejar e preparar a sucessão (planos devem ser
desenvolvidos pela alta administração e estrutura de
governança).
h) planos de retomada e contingência de negócios para situações de interrupção da
prestação de serviços da instituição em decorrência de eventos fora do seu controle, com – Princípio 11: A organização seleciona e desenvolve atividades
previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por gerais de controle sobre a tecnologia para apoiar a realização dos
terceiros; objetivos.
(ii) Estabelecer atividades de controle sobre a infraestrutura de
tecnologia relevante (assegurar a completude, exatidão e
disponibilidade);
relevantes de gerenciamento de segurança (restringir direitos de
acesso e proteger ativos contra ameaças externas);
Cabe frisar que não basta que uma empresa tenha um sistema de informação que facilite a identificação oportuna de
problemas de desempenho e falhas de controle. O sistema de informação, em si próprio, não é suficiente. Ele deve permitir
que seja feita a comunicação às pessoas certas para garantir que as providências necessárias sejam tomadas.
Desde o surgimento da SOX, há um reconhecimento claro da necessidade de uma comunicação “de baixo para cima”,
particularmente, quando um funcionário está preocupado com algo que considera impróprio nas operações da empresa
(afinal, se lembra das fraudes que comente mais acima?). Isso é o que se chama de “função de denúncia”, que comumente
inclui processos que permitem que a comunicação seja feita de forma anônima e não leve a represálias.
3.6) Requerimentos da Resolução 4.968/21 (monitoramento) versus Referências do COSO

ICIF
Preparados para seguirmos para o último dos elementos? Vamos lá!
voltadas às atividades de monitoramento versus os princípios do COSO que você pode utilizar para endereçá-los:
Tabela 8: Relação entre requerimentos do BACEN (monitoramento) versus referências do COSO ICIF
V – quanto aos aspectos relacionados ao monitoramento: – Componente: Atividades de Monitoramento
– Princípio 16: A organização seleciona, desenvolve e realiza avaliações

contínuas e/ou independentes para se certificar da presença e do
funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação externa
a) monitoramento contínuo da eficácia dos sistemas de controles
podem afetar a combinação);
internos e dos principais riscos associados às atividades da
(iii) Estabelecer o entendimento da base de referência (desenho e situação
instituição;
atual);
(vii) Avaliar objetivamente

b) avaliações periódicas, inclusive por parte da auditoria interna,
acerca da eficácia dos sistemas de controles internos e dos
principais riscos associados às atividades da instituição;
atual);
c) acompanhamento sistemático das atividades desenvolvidas, para

avaliar, no mínimo, se:
– Princípio 17: A organização avalia e comunica deficiências no controle
1. os objetivos da instituição estão sendo alcançados; interno em tempo hábil aos responsáveis por tomar ações corretivas,
inclusive a estrutura de governança e alta administração, conforme aplicável.
2. os limites estabelecidos e as leis e regulamentos aplicáveis estão (i) Avaliar resultados (administração e estrutura de governança);
sendo cumpridos; e (ii) Comunicar deficiências (a quem deve tomar ação);
(iii) Monitorar as ações corretivas (administração deve acompanhar).
3. eventuais desvios identificados estão sendo prontamente
corrigidos;

d) atualização de premissas, das metodologias e dos modelos de atual);
gestão de riscos; e (iv) Utilizar pessoal com conhecimento;

interno em tempo hábil aos responsáveis por tomar ações corretivas,
(i) Avaliar resultados (administração e estrutura de governança);
(ii) Comunicar deficiências (a quem deve tomar ação);

interno em tempo hábil aos responsáveis por tomar ações corretivas,
e) metodologia e canais de relato sobre deficiências nos controles
internos aos responsáveis, à diretoria e ao conselho de
(i) Avaliar resultados (administração e estrutura de governança);
administração, no caso de falhas materiais.
(ii) Comunicar deficiências (a quem deve tomar ação);
Os processos de monitoramento contínuo são projetados para identificar falhas de controle, geralmente mediante a
constatação de atividades e resultados fora do normal, inesperados ou incompatíveis com os objetivos da empresa.
O monitoramento é um componente importante de controle interno. A identificação de falhas deve ser acompanhada por
ações gerenciais para que seja determinada a causa fundamental do problema, para assegurar que ações corretivas sejam
tomadas.
3.7) Requerimentos da Resolução 4.968/21 (emissão relatório anual de controles

internos) versus Referências do COSO ICIF
Da parte dos aspectos esperados pelo BACEN no sistema de controles internos, é o que apresentamos até então. Agora,
vamos seguir indo além e explorando mais outros aspectos relevantes da Resolução CMN nº 4.968 e cruzando com os
elementos do COSO para que você possa aproveitar.
Observe que o Art. 6º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles Internos”, na “Seção III – Dos
Relatórios Periódicos”, apresenta a obrigatoriedade da emissão de relatório anual, listando o conteúdo mínimo que deverá ser
enquadrado:
Tabela 9: Relação entre requerimentos do BACEN (emissão relatório anual) versus referências do COSO ICIF
Seção III – Dos Relatórios Periódicos

***
Art. 6º O acompanhamento sistemático das atividades relacionadas com os
sistemas de controles internos deve ser objeto de relatório anual, contendo:
I – a avaliação sobre a adequação e a efetividade dos sistemas de controles – Princípio 14: A organização transmite internamente as informações
internos; necessárias para apoiar o funcionamento do controle interno, inclusive os
II – as recomendações a respeito de eventuais deficiências, com o (i) Comunicar as informações de controle interno (para entendimento e
estabelecimento de cronograma de saneamento, quando for o caso; e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração
III – a manifestação dos responsáveis pelas correspondentes áreas a respeito e estrutura de governança para cumprir suas funções).
das deficiências encontradas em verificações anteriores e das medidas (iii) Fornecer linhas de comunicação independentes (anônimo e confidencial
efetivamente adotadas para saná-las. quando canais normas estão inoperantes ou são ineficazes).
– Princípio 15: A organização comunica-se com os públicos externos sobre

assuntos que afetam o funcionamento do controle interno.
(i) Comunicar-se com públicos externos (forma estruturada para
informações relevantes).
(ii) Possibilitar o recebimento de comunicações (clientes, fornecedores,
auditores externos, órgãos reguladores, analistas financeiros, …).
(iii) Comunicar-se com a estrutura de governança (resultado de avaliações
externas).
(iv) Fornecer linhas de comunicação independentes.
(v) Selecionar métodos de comunicação relevantes (de acordo com
tempestividade, público, natureza, requisitos e expectativas legais,
regulatórias e fiduciárias).
Parágrafo único. O relatório de que trata o caput deve: ***
I – ser submetido ao conselho de administração ou, se inexistente, à Diretoria,

bem como às auditorias interna e externa da instituição; e
***
II – permanecer à disposição do Banco Central do Brasil pelo prazo de cinco
anos.
4) Links adicionais para saber mais:
• [artigo] A resolução CMN 4968/21 para o fortalecimento do sistema de controle interno (por Eduardo Pardini)
.
• [vídeo] Controles Internos segundo o BACEN (por Marcos Assi)
.
• [publicação] Framework for Internal Control Systems in Banking Organizations (via BIS, o “banco central dos bancos
centrais”)
.
• [normativo] Resolução CMN nº 4.968 de 25/11/2021: Dispõe sobre os sistemas de controles internos das instituições
financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
.
• [normativo] Exposição de motivos que sustentaram a criação da Resolução CMN nº 4.968/2021.
.
• [site oficial] COSO Internal Control – Integrated Framework (COSO ICIF).
.
• [sumário] Sumário Executivo – COSO ICIF (gratuito, em inglês ou em português).
.
• [site oficial] FAQ (Frequently Asked Questions) – COSO Internal Control-Integrated Framework
.
• [site oficial] Poster of Internal Control – Integrated Framework Principles
.
• [site oficial] The 2013 COSO Framework & SOX Compliance: One Approach to an Effective Transition
.
• [site oficial] Documentos com orientações sobre Governança e Desempenho Operacional, Controle Interno, Gestão de
Riscos Corporativos (ERM) e Fraudes
.
• [framework] Internal Control – Integrated Framework: inclui o Sumário Executivo, Estrutura e Apêndices e Ferramentas
Ilustrativas para Avaliação da Eficácia de um Sistema de Controle Interno (conjunto de 3 volumes) (pago, em inglês, via
AICPA).
.
• [framework] Internal Control – Integrated Framework, Internal Control Over External Financial Reporting: Um
compêndio de abordagens e exemplos (pago, em inglês, via AICPA).
.
• [framework] Internal Control – Integrated Framework and Compendium Bundle (pago, em inglês, via AICPA).
5) Referências
• Imagem utilizada como capa desta postagem: Scott Graham (via banco de imagens Unsplash)
.
• COSO ICIF (Internal Control – Integrated Framework)
.
• Normativos do Banco Central do Brasil
.
• Auditing: A Risk Based-Approach (Audrey A. Gramling, Larry E. Rittenberg, Karla M. Johnstone)

Usando o COSO para Atender A Resolução BACEN de Controles Internos (Res. CMN 4.9682021)

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Usando o COSO para Atender A Resolução BACEN de Controles Internos (Res. CMN 4.9682021)

Enviado por

Direitos autorais:

Formatos disponíveis

Tiago Souza.

Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles

Usando o COSO para atender a Resolução BACEN de Controles Internos (Res.

1) Controle? Controles Internos? O que é isso?

Esta definição enfatiza que o controle interno:

1.1) Controles Internos São Mesmo Necessários?

1.2) Controles Internos e as Instituições do Mercado Financeiro

1. Eficácia e eficiência das operações;

Há outros elementos importantes na definição. O controle interno:

• É um processo que visa permitir a consecução dos objetivos da organização;

2.2) Framework do COSO Controles Internos (COSO ICIF)

2.3) Principais Benefícios na Adoção do COSO

• Alinhar os esforços de TI e os dados da organização com suas políticas de governança;

2.4) Os Cinco Componentes do COSO Controles Internos

Os cinco componentes do COSO controles internos são os seguintes:

2.5) Controle Interno Eficaz de Acordo com o COSO

É crucial entender as definições do COSO relacionados aos termos:

• “Presente” refere-se à determinação de que o componente e os princípios relevantes existem no desenho e na

Vamos a um exemplo para consolidar o conhecimento?

Tabela 1: Avaliação da presença e funcionamento de princípio do COSO na empresa

Breve descrição do cenário

Componente avaliado: Avaliação de Riscos.

Este princípio está

Este princípio está

3) Resolução BACEN de Controles Internos (Res. CMN nº 4.968/2021 e o COSO)

CAPÍTULO II - DOS SISTEMAS DE CONTROLES INTERNOS

Seção I - Da Obrigatoriedade e dos Objetivos ***

II - informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras,

III - conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e

Viu como os objetivos se entrelaçam?

ELEMENTOS DA RESOLUÇÃO 4.968/2021 COMPONENTES DO COSO ICIF

CAPÍTULO II - DOS SISTEMAS DE CONTROLES INTERNOS

Seção II - Das Características Essenciais ***

Art. 5º Os sistemas de controles internos devem prever:

I - quanto aos aspectos relacionados à cultura de controle. Ambiente de Controle

II - quanto aos aspectos relacionados à identificação e à avaliação de riscos. Avaliação de Riscos

IV - quanto aos aspectos relacionados à informação e à comunicação. Informação e Comunicação

V - quanto aos aspectos relacionados ao monitoramento. Monitoramento

3.2) Requerimentos da Resolução 4.968/21 (cultura) versus Referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF

CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais ***

Art. 5º Os sistemas de controles internos devem prever:

I – quanto aos aspectos relacionados à cultura de controle – Componente: Ambiente de Controle

– Princípio 3: A administração estabelece, com a supervisão da estrutura de

– Princípio 4: A organização demonstra comprometimento para atrair,

– Princípio 2: A estrutura de governança demonstra independência em relação

– Princípio 14: A organização transmite internamente as informações

– Princípio 5: A organização faz com que as pessoas assumam responsabilidade

– Princípio 8: A organização considera o potencial para fraude na avaliação dos

– Princípio 1: A organização demonstra ter comprometimento com a integridade

– Princípio 1: A organização demonstra ter comprometimento com a integridade

– Princípio 14: A organização transmite internamente as informações

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF

CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais ***

Art. 5º Os sistemas de controles internos devem prever:

– Princípio 6: A organização especifica os objetivos com clareza

– Princípio 7: A organização identifica os riscos à realização de seus

– Princípio 9: A organização identifica e avalia as mudanças que

– Princípio 9: A organização identifica e avalia as mudanças que

– Princípio 16: A organização seleciona, desenvolve e realiza

– Princípio 6: A organização especifica os objetivos com clareza