Aplicando COSO à Resolução BACEN de Controles Internos: CMN 4.968/2021 e BCB 260/2022

Neste artigo, falaremos sobre como o COSO pode ser usado para atender a Resolução do BACEN de Controles Internos. A Resolução CMN nº 4.968 de 25/11/2021 e a Resolução BCB nº 260 de 22/11/2022 abordam sobre os sistemas de controles internos das instituições supervisionadas pelo Banco Central do Brasil. Vou apresentar as partes conceituais para que a compreensão do conteúdo mais hands-on (parte prática) fique mais fácil e você consiga aplicá-lo ao seu contexto.

Uma das principais diferenças entre elas é que a primeira é a Res. CMN 4.968 é aplicável às instituições financeiras e demais autorizadas pelo Banco Central do Brasil, ao passo que a Res. BCB 260 é aplicável às administradoras de consórcio e as instituições de pagamento.

Como abordagem, vou apresentar no artigo um cruzamento entre as exigências da Resolução de Controles Internos (os artigos, incisos e as alíneas) com os componentes, princípios e pontos focais do COSO. Dessa forma, o profissional de Controles Internos poderá enxergar o como fazer, desmistificando o caminho da conformidade.

Devido ao tema e ênfase que estou dando, será um artigo mais longo e detalhado.

Caso você já saiba sobre COSO e queira ir direto ao ponto, veja o tópico que o conecto com a resolução BACEN.

0. Algumas informações úteis antes de começarmos

Antes de iniciarmos com o conteúdo, é importante esclarecer alguns pontos para que você esteja ciente:

1. Não existe uma “receita de bolo” ou uma “bala de prata” que, com poucos cliques ou ações, atingirá a conformidade com a referida resolução.
   .
2. Da mesma forma, o conteúdo desse artigo deve ser visto como um apoio técnico, não como uma única forma de atingir o objetivo da regulação. Meu propósito com esse artigo não é oferecer uma “consultoria gratuita com uma solução certeira para tudo e todos”, cabe ao profissional de Controles Internos avaliar o que faz sentido (ou não) e adaptar de acordo com a necessidade.
   .
3. Não existe verdade absoluta, e cada empresa… é uma empresa. É fundamental que a estrutura do COSO seja adotada e adaptada de acordo com a realidade de cada um, e isso envolve perfil de risco, aspectos culturais da empresa, engajamento das pessoas com a cultura de riscos e controles, tamanho da empresa, quantidade de pessoas e mais uma dezena de outros itens.
   .
4. Utilizar o COSO não é como um projeto, que possui um “início e fim definido”. Trata-se de um processo contínuo, que permitirão evoluir cada vez mais o ambiente de controle da companhia e observar sinais de alerta antecipados sobre mudanças no ambiente operacional e que podem afetar o sistema de controles internos.
   .
5. Antes de ir direto ao ponto com a Resolução CMN nº 4.968 e a Resolução BCB n° 260, precisarei explicar sobre o COSO (e COSO ICIF), sua estrutura, seus componentes, seus princípios e pontos focais, o que significa que um componente e princípio está “presente e funcionando” (são duas coisas, veremos mais adiante no artigo), entre outros conceitos importantes e necessários.
   .
6. Por mais que eu tente explicar da maneira mais didática possível, talvez possa ser necessário um certo conhecimento do COSO para melhor aproveitamento na aplicação prática dentro da instituição.

1) Controle? Controles Internos? O que é isso?

Um controle é qualquer mecanismo de prevenção de perdas. No mundo corporativo, definimos como qualquer ação ou atitude tomada pela Corporação para gerir os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados.

Um controle interno é um processo conduzido pela estrutura de governança*, pela administração e por outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade, (seja este automatizado ou manual).

* A expressão “estrutura de governança” abrange o órgão deliberativo, como conselho de administração, conselho consultivo, sócios, proprietários ou conselho supervisor.

O controle interno é um processo efetuado pelo conselho de administração, gerência ou outro pessoal de uma entidade, desenvolvido para prover avaliação razoável com relação ao atingimento dos objetivos relativos a operações, reporte e conformidade.

Esta definição enfatiza que o controle interno:

• É voltado para o atingimento de objetivos em uma ou mais categorias, separadas mas sobrepostas – operações, reporte e conformidade.
  .
• É um processo de tarefas e atividades contínuas (um meio para um fim, não um fim em si).
  .
• É aplicado por pessoas – não apenas sobre políticas ou manuais de procedimentos, sistemas e formulários, mas sobre pessoas e as ações tomadas por elas em todos os níveis de uma organização, para aplicar o controle interno.
  .
• É capaz de fazer uma avaliação razoável – mas não absoluta, à alta administração e ao conselho de administração de uma entidade.
  .
• É adaptável à estrutura da entidade – flexível na aplicação à entidade ou a uma subsidiária, divisão, unidade operacional ou processo de negócio em particular.

O controle interno não é um processo em série, mas sim um processo dinâmico e integrado. O framework se aplica a todas as entidades de grande, médio e pequeno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada organização, entretanto, pode escolher implementar o controle interno de forma diferente.

1.1) Controles Internos São Mesmo Necessários?

Os controles internos são necessários uma vez que toda e qualquer organização se defronta com riscos significativos, variando desde a falência da empresa, a má utilização dos ativos da empresa, a preparação incorreta ou incompleta de relatórios financeiros ou de informações não financeiras relevantes. Controles internos são projetados justamente para mitigar esse tipo de risco.

Por exemplo, uma empresa que não prepara informações financeiras precisas não só se apresenta incorretamente ao público, mas, com a mesma importância, também não é capaz de tomar boas decisões na gestão de suas atividades.

Assim, podemos afirmar que os controles internos existem para atenuar (diminuir, mitigar) ameaças à consecução de objetivos. A única maneira de avaliar a qualidade de um controle é considerar o grau pelo qual ele reduz as ameaças à conquista dos objetivos da organização em um nível aceitável.

Sob o prisma de uma auditoria, quanto mais alta a qualidade do controle interno, menor o risco de controle e, portanto, mais o auditor pode confiar na qualidade dos controles internos ao formular um parecer sobre as demonstrações financeiras de uma organização.

Assim como uma empresa baseia-se nos princípios de contabilidade geralmente aceitos para determinar se as suas demonstrações financeiras são apresentadas de maneira fidedigna, ela também precisa se referir a um arcabouço abrangente de controle interno para suportar adequadamente suas operações, e é neste momento que conectamos o “plug” com a estrutura do COSO.

1.2) Controles Internos e as Instituições do Mercado Financeiro

Cada vez mais, as instituições necessitam de mecanismos de controles internos eficientes e eficazes para proporcionar segurança razoável ao mercado e públicos.

Nesse sentido, ao longo dos últimos anos, o BACEN tem editado diversos atos normativos, como por exemplo, a Resolução 2.554/1998 (sobre a implantação e implementação de sistema de controles internos); Resolução 3.921/2010 (sobre a política de remuneração de administradores); Resolução 4.557/2017 (sobre a estrutura de gerenciamento de riscos, a estrutura de gerenciamento de capital e a política de divulgação de informações); Resolução 4.595/2017 (sobre a política de conformidade); Resolução 4.879/2020 (sobre auditoria interna); Resolução 4.878/2020 (sobre a política de sucessão de administradores), entre outros.

O conjunto desses normativos, associados a outros, constituem o alicerce das boas práticas de governança corporativa no âmbito do Sistema Financeiro Nacional, formando assim um robusto conjunto de regras de governança e de gerenciamento de riscos.

Atento aos movimentos de mercado e a crescente necessidade de aprimoramentos dos controles internos para responder aos eventos de riscos, o Banco Central do Brasil (BACEN) e o Conselho Monetário Nacional seguem aprimorando o arcabouço regulatório que disciplina a governança corporativa das instituições, em consonância com as melhores práticas internacionais e com o objetivo de assegurar a solidez e a eficiência do Sistema Financeiro Nacional.

Dessa forma, em 25/11/2021, o BACEN publicou a Resolução CMN nº 4.968/2021, e em 22/11/2022 a Resolução BCB nº 260/2022, atualizando e aprimorando algumas regras concernentes aos sistemas de controles internos, buscando um maior nível de aderência das normas internas às melhores práticas reconhecidas internacionalmente, em especial as previstas nas publicações de Basileia e no próprio framework do COSO, intitulado Internal Control – Integrated Framework. Estão em vigor, tornando não mais aplicável o normativo anterior (Resolução CMN nº 2.554/1998), que foi revogado.

A nova Resolução CMN nº 4.968/2021 e a Resolução BCB nº 260/2022 têm orientado os gestores quanto às boas práticas que devem ser adotadas para implantação e manutenção de um sistema de controles internos efetivo.

Além disso, aprimoram as responsabilidades atribuídas à alta administração, especialmente ao conselho de administração, assim como detalha as responsabilidades da Diretoria da empresa. Prevê, ainda, que as instituições devem designar diretor responsável pelos assuntos de controles internos, podendo desempenhar outras funções na companhia, desde que não haja conflito de interesse.

2) COSO: Origens

O COSO (ou Comitê das Organizações Patrocinadoras da Comissão Treadway) é um grupo consultivo que projeta estruturas para ajudar as organizações com questões de gerenciamento de risco. Uma de suas estruturas mais populares é a estrutura COSO para um controle interno eficaz.

Quanto às suas origens, a estrutura de controle interno do COSO foi introduzida pela primeira vez em 1992; uma versão revisada e mais moderna chegou em 2013, chamada de COSO ICIF, ou COSO ICF (COSO Internal Control Integrated Framework). Talvez a imagem mais conhecida da estrutura seja o famoso cubo do COSO, que é um diagrama tridimensional que mostra como os vários elementos de um sistema de controle interno funcionam juntos. Aplicável tanto a relatórios financeiros externos quanto a atividades de controle interno, a estrutura COSO se concentra nas inter-relações entre stakeholders e processos.

Trata-se do modelo utilizado como base para estruturas de controles internos mais utilizado globalmente (o próprio The IIA manifesta sua preferência por este modelo). É uma organização dedicada à melhoria na qualidade das informações financeiras através da ética nos negócios, controles internos eficazes e governança corporativa.

2.1) Objetivos do COSO

De acordo com o COSO, controle interno é definido como um processo implantado pelo conselho de administração, estrutura de governança, pelos executivos e outras pessoas em uma entidade, destinado a dar razoável segurança a respeito do alcance de objetivos nas seguintes categorias:

1. Eficácia e eficiência das operações;
2. Confiabilidade da divulgação financeira e informações não financeiras e;
3. Conformidade e cumprimento das leis e normas aplicáveis.

Esses objetivos procuram auxiliar a organização a atingir seus propósitos mais importantes, ou seja, implantar com sucesso as estratégias corporativas para obter retornos para os acionistas. Os objetivos de controle visam auxiliar a organização a garantir que possui operações eficazes e eficientes relacionadas à sua estratégia geral, que suas atividades estão de acordo com as leis e normas regulatórias aplicáveis, que protege seus ativos contra roubo e fraude e que prepara informações financeiras precisas para fins de tomada interna de decisões e divulgação externa à comunidade de investidores.

Há outros elementos importantes na definição. O controle interno:

• É um processo que visa permitir a consecução dos objetivos da organização;
  .
• Parte do topo da organização, como o conselho de administração e os altos executivos e diretores, que criam e reforçam uma estrutura e um clima para o uso de controles na organização;
  .
• Direta ou indiretamente inclui todas as pessoas na organização, desde o funcionário executor de uma atividade operacional com insumos ao auditor interno, ao diretor financeiro;
  .
• É mais amplo do que o controle interno da divulgação financeira;
  .
• O controle interno é aplicado a todas as atividades da organização, desde as áreas funcionais, às divisões de uma empresa, até às inter-relações que essa empresa possui.

2.2) Framework do COSO Controles Internos (COSO ICIF)

O COSO possui várias publicações, mas nesse artigo, meu foco e ênfase serão direcionados ao COSO I, ou COSO ICIF, ou ainda COSO ICF, que é conhecido como Internal Control – Integrated Framework. Sua finalidade é apoiar o alcance dos objetivos organizacionais, a emissão de relatórios confiáveis e tempestivos e a conformidade com as normas pertinentes ao negócio.

Compreender a estrutura do COSO pode trazer benefícios significativos às organizações. Ele fornece orientação sobre controles internos e como as organizações devem estabelecer controles em todo o seu ambiente. Um sistema sólido de controles internos fornece garantia razoável de que a organização opera de forma ética, transparente e alinhada com os padrões estabelecidos do setor.

Os conceitos atemporais do framework são: controles internos é um processo afetado por pessoas; fornece garantia razoável; e está voltado para o alcance de objetivos relacionados a operações, divulgação e compliance.

A estrutura COSO classifica os objetivos de controle interno nos três grupos a seguir:

• Os objetivos operacionais incluem medidas de desempenho e proteção dos ativos da organização contra fraudes. Eles se concentram na eficácia e eficiência das transações, e também incluem conformidade com políticas e procedimentos internos.
  .
• Os objetivos de divulgação, incluindo relatórios financeiros internos e externos e informações não financeiras, referem-se à transparência, pontualidade e confiabilidade dos relatórios da organização.
  .
• Os objetivos de conformidade são metas de controle interno baseadas na adesão às leis governamentais e conformidade com leis e regulamentos externos.

2.3) Principais Benefícios na Adoção do COSO

Aplicar o COSO e os seus princípios ajudam a fortalecer e a sustentar um ambiente de controles adequado e eficaz. Logo, a implementação de controles internos eficazes e com uma estrutura coesa podem trazer muitos benefícios, incluindo, mas não se limitando a:

• Alinhar os esforços de TI e os dados da organização com suas políticas de governança;
  .
• Melhorar a qualidade, utilidade, confiabilidade e comparabilidade dos dados;
  .
• Entregar dados de tomada de decisão para gerenciamento interno, investidores externos, provedores de recursos e outras partes interessadas;
  .
• Fortalecer o entendimento da organização sobre seus riscos relevantes e as oportunidades de mitigação;
  .
• Apoiar a transparência, eficiência e eficácia requeridas;
  .
• Fornecer acesso mais fácil ao capital, especialmente para investidores de longo prazo, a um custo de capital significativamente menor.

Esses benefícios serão alcançados por organizações que alinham seus esforços com suas estratégias de negócios, pois estão focadas nas questões que têm os efeitos mais tangíveis. Métricas vinculadas a um sistema eficaz de controles internos fornecem às empresas e suas partes interessadas inteligência empresarial para apoiar a tomada de decisões, gerenciar a produção e alocar recursos.

2.4) Os Cinco Componentes do COSO Controles Internos

Os cinco componentes do COSO controles internos são os seguintes:

1. Ambiente de Controle: cria uma abordagem de cima para baixo (“top down”) para conduzir o framework do COSO por toda a organização. Consiste em um conjunto de padrões, processos e procedimentos que são supervisionados e aplicados pela administração. O estabelecimento de controles em todo o ambiente garante que as práticas padrão e os valores éticos sejam usados em toda a organização.
   .
2. Avaliação de Riscos: todas as organizações têm riscos e estão expostas a fatores que fazem com que não atinjam seus objetivos. As avaliações de risco são realizadas para avaliar fatores internos e externos. As avaliações fornecem uma garantia razoável de que as organizações estão gerenciando os riscos com uma tolerância aceitável.
   .
3. Atividades de Controle: as atividades de controle são tomadas para mitigar o risco em todos os níveis da organização. O framework do COSO ajuda a garantir que as atividades de controle realizadas pelos membros da organização sejam eficazes para que a empresa atinja seus objetivos e trate os riscos.
   .
4. Informação e Comunicação: os controles fornecidos pelo COSO ajudam a garantir que ocorra uma adequada comunicação. Isso inclui usar uma linguagem consistente e seguir as melhores práticas para compartilhar níveis apropriados de informações com as partes interessadas adequadas. Revisões de negócios formais de gerenciamento e reuniões com todos os funcionários, bem como bate-papos e e-mails informais se enquadram nesse componente.
   .
5. Atividades de Monitoramento: o monitoramento contínuo e as auditorias internas de todos os sistemas de controle interno identificam os primeiros sinais de problemas e garantem a eficácia. Métricas e relatórios são fornecidos à administração e ao conselho de administração para uma avaliação contínua. As informações coletadas e avaliadas por reguladores e auditores verificam as atividades de controle. As auditorias de relatórios financeiros também ajudam na prevenção de fraudes.

O controle interno é um processo que obedece a uma estrutura lógica ligada ao atingimento dos objetivos da organização. As instituições identificam os riscos associados à consecução desses objetivos e implantam diversos processos para controlar e/ou mitigar essas ameaças.

2.5) Controle Interno Eficaz de Acordo com o COSO

A estrutura de controle interno do COSO ICIF possui 17 (dezessete) princípios para apoiar os 5 (cinco) componentes e os 3 (três) objetivos do sistema de controle interno.

De acordo com o COSO, um sistema eficaz de controle interno requer cada um dos cinco componentes e princípios relevantes estejam presentes e funcionando. Além disso, os cinco componentes devem operar juntos e de maneira integrada.

É crucial entender as definições do COSO relacionados aos termos:

• “Presente” refere-se à determinação de que o componente e os princípios relevantes existem no desenho e na implementação do sistema de controle interno para realizar os objetivos especificados. Ou seja, os componentes e princípios foram projetados e implantados através de controles.
  .
• “Em funcionamento” refere-se à determinação de que os componentes e princípios relevantes continuam a existir nas operações e condução dos controles internos ao longo do tempo. Ou seja, continua a existir na aplicação do controle.
  .
• “Operar juntos” refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível aceitável o risco de não se atingir o objetivo.

Ao verificar se um componente está presente e funcionando, a alta administração, com a supervisão da estrutura de governança, precisa determinar até que ponto os princípios relevantes estão presentes e funcionando. Entretanto, o fato de um princípio estar presente e funcionando não significa que a organização se esforce para buscar o mais alto nível de desempenho na aplicação desse princípio em particular. Ao contrário, a administração exercerá julgamento na ponderação dos custos e benefícios do desenvolvimento, da implementação e da aplicação do controle interno.

Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um componente ou princípio relevante, ou com respeito à operação conjunta dos componentes de uma forma integrada, a organização não pode concluir que já possui um sistema eficaz de controle interno.

Vamos a um exemplo para consolidar o conhecimento?

Tabela 1: Avaliação da presença e funcionamento de princípio do COSO na empresa

.

Conseguiu perceber a diferença na prática? Ou seja, de que adianta ter (existir) políticas e procedimentos escritos se não são seguidos e aplicados na empresa?

3) Resolução BACEN de Controles Internos (Res. CMN nº 4.968/2021 e o COSO)

Agora que percorremos as principais informações acerca do COSO (e do COSO ICIF), estamos preparados para dar o próximo passo, que é conectá-lo com os requisitos da Resolução CMN nº 4.968, que aborda sobre o sistema de controles internos que as instituições reguladas pelo Banco Central do Brasil devem possuir.

Para começarmos, vamos pegar o Art. 3º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles Internos”, na “Seção I – Da Obrigatoriedade e dos Objetivos”:

Tabela 2: Relação da finalidade dos controles internos conforme resolução 4.968 x referência no COSO ICIF:

 

Viu como os objetivos se entrelaçam?

3.1) Elementos da Resolução 4.968/21 versus Componentes do COSO ICIF

Agora, vamos seguir em frente. Pegamos agora o Art. 5º da Resolução CMN nº 4.968 e os seus cinco incisos e os correlacionamos com os cinco componentes equivalentes do COSO ICIF:

Tabela 3: Relação entre as características dos controles da Resolução 4.968 x componentes do COSO ICIF

 

Percebeu a sinergia e relacionamento entre o normativo e o COSO ICIF?

Só a título de informação e curiosidade (mesmo porque está revogada desde 01/01/2022), você também podia visualizar essa correlação com o COSO observando a Circular nº 3.467/2009, que estabelecia critérios para elaboração dos relatórios de avaliação da qualidade e adequação do sistema de controles internos e de descumprimento de dispositivos legais e regulamentares.

3.2) Requerimentos da Resolução 4.968/21 (cultura) versus Referências do COSO ICIF

Agora que você já viu, de forma macro, o relacionamento entre os incisos de I a V do Art. 5º da Resolução CMN nº 4.968 (o que os sistemas de controles internos devem prever) com os cinco elementos do COSO, vamos explorar cada um deles?

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados à cultura de controle versus os princípios do COSO que você pode utilizar para endereçá-los.

Para fins de padronização das terminologias usadas nas tabelas mais abaixo, cabe frisar que nelas haverão as seguintes informações:

• Componentes: os componentes representam o que é necessário para atingir os objetivos (são cinco componentes de acordo com o COSO).
  .
• Princípios: são conceitos fundamentais associados aos componentes. Os princípios são características importantes dos componentes. Os controles fornecem evidências de que os princípios relevantes estão funcionando na companhia.
  .
• Pontos focais do princípio: são características importantes dos princípios e auxiliam no desenho, implantação ou aplicação do princípio. Nas tabelas a seguir, os pontos focais foram listados através de marcadores romanos (i, ii, iii etc.), logo abaixo dos princípios que estão associados. Os pontos de foco e os controles estão sujeitos a julgamentos da administração.

Tabela 4: Relação entre requerimentos do BACEN (cultura de riscos e controles) versus referências do COSO ICIF

O ambiente de controle de uma empresa é complexo, e sua avaliação geralmente alguma subjetividade.

.

Vamos em frente?

3.3) Requerimentos da Resolução 4.968/21 (riscos) versus Referências do COSO ICIF

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados à identificação e avaliação de riscos versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 5: Relação entre requerimentos do BACEN (riscos) versus referências do COSO ICIF

 

Percebe como o COSO está intimamente ligado e pode ser nosso grande aliado?

3.4) Requerimentos da Resolução 4.968/21 (controles) versus Referências do COSO ICIF

Agora, vamos partir para o próximo elemento. Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados às atividades de controle e segregação de funções versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 6: Relação entre requerimentos do BACEN (controles) versus referências do COSO ICIF

 

Praticamente todas as fraudes relevantes financeiras já ocorridas estiveram associadas com organizações que possuíam deficiências em seu ambiente de controle. Quer exemplos? WorldCom, Enron, Adelphia e instituições que sofreram com a crise financeira, como Lehman Brothers, Merrill Lynch e Citi.

Aliás, você sabia que a Enron possuía um dos melhores códigos de ética “escritos” da época? Entretanto, o conselho de administração costumeiramente anulava exigências envolvendo “conflitos de interesse”. Assim, permitiu que Andy Fastow, tesouro da empresa, montasse entidades com fins específicos cuja única finalidade era inflacionar lucros ou esconder prejuízos da empresa.

Controles são desenvolvidos para reduzir os riscos. Eles devem ser específicos aos riscos da organização e aos seus métodos de processamento de transações. Não há um conjunto único de controles recomendados que devem ser utilizados por todas as empresas. Há alguns, como o de segregação de funções e atividades, que podem ser comuns nas empresas, mas implantados de maneiras distintas. Por isso é importante que a administração identifique e implante os controles mais eficazes, em termos de custos e alinhados às suas necessidades, para lidar com riscos relevantes.

Além disso, as atividades de controle também se destinam a reduzir riscos associados a operações ineficazes ou ao descumprimento de políticas regulatórias ou da empresa. Os riscos e controles associados a operações e cumprimento de políticas comumente precisam ser considerados.

Note que o BACEN deixa, de maneira explícita, a menção a “segregação de funções”, e isso faz muito sentido devido a sua relevância e impacto que pode causar se negligenciada. A segregação tem como finalidade proteger contra o risco que um indivíduo possa perpetrar e encobrir uma fraude. Embora a segregação seja muito eficaz do ponto de vista de atenuar o risco, ela pode ser anulada por meio de conluio entre os funcionários. As organizações de menor porte devem considerar outras maneiras de atenuar o risco, pois geralmente não possuem pessoas suficientes para segregar plenamente todas as funções (adotar um controle de revisão periódico da atividade pode ser uma alternativa).

Muitas das atividades importantes de controle baseiam-se em políticas, procedimentos e no comprometimento de competência resultante do ambiente de controle da empresa.

3.5) Requerimentos da Resolução 4.968/21 (informação/comunicação) versus Referências do COSO ICIF

Surpreso até o momento em como as coisas estão conversando umas com as outras? Então continua aqui acompanhando.

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados às informações e comunicações versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 7: Relação entre requerimentos do BACEN (informação e comunicação) versus referências do COSO ICIF

 

Cabe frisar que não basta que uma empresa tenha um sistema de informação que facilite a identificação oportuna de problemas de desempenho e falhas de controle. O sistema de informação, em si próprio, não é suficiente. Ele deve permitir que seja feita a comunicação às pessoas certas para garantir que as providências necessárias sejam tomadas.

Desde o surgimento da SOX, há um reconhecimento claro da necessidade de uma comunicação “de baixo para cima”, particularmente, quando um funcionário está preocupado com algo que considera impróprio nas operações da empresa (afinal, se lembra das fraudes que comente mais acima?). Isso é o que se chama de “função de denúncia”, que comumente inclui processos que permitem que a comunicação seja feita de forma anônima e não leve a represálias.

3.6) Requerimentos da Resolução 4.968/21 (monitoramento) versus Referências do COSO ICIF

Preparados para seguirmos para o último dos elementos? Vamos lá!

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltadas às atividades de monitoramento versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 8: Relação entre requerimentos do BACEN (monitoramento) versus referências do COSO ICIF

 

Os processos de monitoramento contínuo são projetados para identificar falhas de controle, geralmente mediante a constatação de atividades e resultados fora do normal, inesperados ou incompatíveis com os objetivos da empresa.

O monitoramento é um componente importante de controle interno. A identificação de falhas deve ser acompanhada por ações gerenciais para que seja determinada a causa fundamental do problema, para assegurar que ações corretivas sejam tomadas.

3.7) Requerimentos da Resolução 4.968/21 (emissão relatório anual de controles internos) versus Referências do COSO ICIF

Da parte dos aspectos esperados pelo BACEN no sistema de controles internos, é o que apresentamos até então. Agora, vamos seguir indo além e explorando mais outros aspectos relevantes da Resolução CMN nº 4.968 e cruzando com os elementos do COSO para que você possa aproveitar.

Observe que o Art. 6º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles Internos”, na “Seção III – Dos Relatórios Periódicos”, apresenta a obrigatoriedade da emissão de relatório anual, listando o conteúdo mínimo que deverá ser enquadrado:

Tabela 9: Relação entre requerimentos do BACEN (emissão relatório anual) versus referências do COSO ICIF

4) Links adicionais para saber mais:

• [artigo] A resolução CMN 4968/21 para o fortalecimento do sistema de controle interno (por Eduardo Pardini)
  .
• [vídeo] Controles Internos segundo o BACEN (por Marcos Assi)
  .
• [publicação] Framework for Internal Control Systems in Banking Organizations (via BIS, o “banco central dos bancos centrais”)
  .
• [normativo] Resolução CMN nº 4.968 de 25/11/2021: Dispõe sobre os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
  .
• [normativo] Exposição de motivos que sustentaram a criação da Resolução CMN nº 4.968/2021.
  .
• [site oficial] COSO ​​​Internal Control – Integrat​​​​​​​​ed F​r​​amework (COSO ICIF).
  .
• [sumário] Sumário Executivo – COSO ICIF (gratuito, em inglês ou em português).
  .
• [site oficial] FAQ (Frequently Asked Questions) – COSO Internal Control-Integrated Framework
  .
• [site oficial] Poster of Internal Control – Int​egrated Framework Principles
  .
• [site oficial] The 2013 COSO Framework & SOX Compliance: One Approach to an Effective Transition
  .
• [site oficial] Documentos com orientações sobre Governança e Desempenho Operacional, Controle Interno, Gestão de Riscos Corporativos (ERM) e Fraudes
  .
• [framework] Internal Control – Integrated Framework: inclui o Sumário Executivo, Estrutura e Apêndices e Ferramentas Ilustrativas para Avaliação da Eficácia de um Sistema de Controle Interno (conjunto de 3 volumes) (pago, em inglês, via AICPA).
  .
• [framework] Internal Control – Integrated Framework, Internal Control Over External Financial Reporting: Um compêndio de abordagens e exemplos (pago, em inglês, via AICPA).
  .
• [framework] Internal Control – In​​tegrated F​​r​​​amework and Compendium Bundle (pago, em inglês, via AICPA).

5) Referências

• Imagem utilizada como capa desta postagem: Scott Graham (via banco de imagens Unsplash)
  .
• COSO ICIF (Internal Control – Integrated Framework)
  .
• Normativos do Banco Central do Brasil
  .
• Auditing: A Risk Based-Approach (Audrey A. Gramling, Larry E. Rittenberg, Karla M. Johnstone)

.

* * * * *

.