Usando o COSO para atender a Resolução BACEN de Controles Internos (Res. CMN 4.968/2021)

Neste artigo, falaremos sobre como o COSO pode ser usado para atender a Resolução do BACEN de Controles Internos. A Resolução CMN nº 4.968 de 25/11/2021 aborda sobre os sistemas de controles internos das instituições supervisionadas pelo Banco Central do Brasil. Vou apresentar as partes conceituais para que a compreensão do conteúdo mais hands-on (parte prática) fique mais fácil e você consiga aplicá-lo ao seu contexto.

Como abordagem, vou apresentar no artigo um cruzamento entre as exigências da Resolução de Controles Internos (os artigos, incisos e as alíneas) com os componentes, princípios e pontos focais do COSO. Dessa forma, o profissional de Controles Internos poderá enxergar o como fazer, desmistificando o caminho da conformidade.

Devido ao tema e ênfase que estou dando, será um artigo mais longo e detalhado.

Caso você já saiba sobre COSO e queira ir direto ao ponto, veja o tópico que o conecto com a resolução BACEN.

0. Algumas informações úteis antes de começarmos

Antes de iniciarmos com o conteúdo, é importante esclarecer alguns pontos para que você esteja ciente:

  1. Não existe uma “receita de bolo” ou uma “bala de prata” que, com poucos cliques ou ações, atingirá a conformidade com a referida resolução.
    .
  2. Da mesma forma, o conteúdo desse artigo deve ser visto como um apoio técnico, não como uma única forma de atingir o objetivo da regulação. Meu propósito com esse artigo não é oferecer uma “consultoria gratuita com uma solução certeira para tudo e todos”, cabe ao profissional de Controles Internos avaliar o que faz sentido (ou não) e adaptar de acordo com a necessidade.
    .
  3. Não existe verdade absoluta, e cada empresa… é uma empresa. É fundamental que a estrutura do COSO seja adotada e adaptada de acordo com a realidade de cada um, e isso envolve perfil de risco, aspectos culturais da empresa, engajamento das pessoas com a cultura de riscos e controles, tamanho da empresa, quantidade de pessoas e mais uma dezena de outros itens.
    .
  4. Utilizar o COSO não é como um projeto, que possui um “início e fim definido”. Trata-se de um processo contínuo, que permitirão evoluir cada vez mais o ambiente de controle da companhia e observar sinais de alerta antecipados sobre mudanças no ambiente operacional e que podem afetar o sistema de controles internos.
    .
  5. Antes de ir direto ao ponto com a Resolução CMN nº 4.968, precisarei explicar sobre o COSO (e COSO ICIF), sua estrutura, seus componentes, seus princípios e pontos focais, o que significa que um componente e princípio está “presente e funcionando” (são duas coisas, veremos mais adiante no artigo), entre outros conceitos importantes e necessários.
    .
  6. Por mais que eu tente explicar da maneira mais didática possível, talvez possa ser necessário um certo conhecimento do COSO para melhor aproveitamento na aplicação prática dentro da instituição.

1) Controle? Controles Internos? O que é isso?

Um controle é qualquer mecanismo de prevenção de perdas. No mundo corporativo, definimos como qualquer ação ou atitude tomada pela Corporação para gerir os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados.

Um controle interno é um processo conduzido pela estrutura de governança*, pela administração e por outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade, (seja este automatizado ou manual).

* A expressão “estrutura de governança” abrange o órgão deliberativo, como conselho de administração, conselho consultivo, sócios, proprietários ou conselho supervisor.

O controle interno é um processo efetuado pelo conselho de administração, gerência ou outro pessoal de uma entidade, desenvolvido para prover avaliação razoável com relação ao atingimento dos objetivos relativos a operações, reporte e conformidade.

Esta definição enfatiza que o controle interno:

  • É voltado para o atingimento de objetivos em uma ou mais categorias, separadas mas sobrepostas – operações, reporte e conformidade.
    .
  • É um processo de tarefas e atividades contínuas (um meio para um fim, não um fim em si).
    .
  • É aplicado por pessoas – não apenas sobre políticas ou manuais de procedimentos, sistemas e formulários, mas sobre pessoas e as ações tomadas por elas em todos os níveis de uma organização, para aplicar o controle interno.
    .
  • É capaz de fazer uma avaliação razoável – mas não absoluta, à alta administração e ao conselho de administração de uma entidade.
    .
  • É adaptável à estrutura da entidade – flexível na aplicação à entidade ou a uma subsidiária, divisão, unidade operacional ou processo de negócio em particular.

O controle interno não é um processo em série, mas sim um processo dinâmico e integrado. O framework se aplica a todas as entidades de grande, médio e pequeno portes, com e sem fins lucrativos, além de órgãos governamentais. Cada organização, entretanto, pode escolher implementar o controle interno de forma diferente.

1.1) Controles Internos São Mesmo Necessários?

Os controles internos são necessários uma vez que toda e qualquer organização se defronta com riscos significativos, variando desde a falência da empresa, a má utilização dos ativos da empresa, a preparação incorreta ou incompleta de relatórios financeiros ou de informações não financeiras relevantes. Controles internos são projetados justamente para mitigar esse tipo de risco.

Por exemplo, uma empresa que não prepara informações financeiras precisas não só se apresenta incorretamente ao público, mas, com a mesma importância, também não é capaz de tomar boas decisões na gestão de suas atividades.

Assim, podemos afirmar que os controles internos existem para atenuar (diminuir, mitigar) ameaças à consecução de objetivos. A única maneira de avaliar a qualidade de um controle é considerar o grau pelo qual ele reduz as ameaças à conquista dos objetivos da organização em um nível aceitável.

Sob o prisma de uma auditoria, quanto mais alta a qualidade do controle interno, menor o risco de controle e, portanto, mais o auditor pode confiar na qualidade dos controles internos ao formular um parecer sobre as demonstrações financeiras de uma organização.

Assim como uma empresa baseia-se nos princípios de contabilidade geralmente aceitos para determinar se as suas demonstrações financeiras são apresentadas de maneira fidedigna, ela também precisa se referir a um arcabouço abrangente de controle interno para suportar adequadamente suas operações, e é neste momento que conectamos o “plug” com a estrutura do COSO.

1.2) Controles Internos e as Instituições do Mercado Financeiro

Cada vez mais, as instituições necessitam de mecanismos de controles internos eficientes e eficazes para proporcionar segurança razoável ao mercado e públicos.

Nesse sentido, ao longo dos últimos anos, o BACEN tem editado diversos atos normativos, como por exemplo, a Resolução 2.554/1998 (sobre a implantação e implementação de sistema de controles internos); Resolução 3.921/2010 (sobre a política de remuneração de administradores); Resolução 4.557/2017 (sobre a estrutura de gerenciamento de riscos, a estrutura de gerenciamento de capital e a política de divulgação de informações); Resolução 4.595/2017 (sobre a política de conformidade); Resolução 4.879/2020 (sobre auditoria interna); Resolução 4.878/2020 (sobre a política de sucessão de administradores), entre outros.

O conjunto desses normativos, associados a outros, constituem o alicerce das boas práticas de governança corporativa no âmbito do Sistema Financeiro Nacional, formando assim um robusto conjunto de regras de governança e de gerenciamento de riscos.

Atento aos movimentos de mercado e a crescente necessidade de aprimoramentos dos controles internos para responder aos eventos de riscos, o Banco Central do Brasil (BACEN) e o Conselho Monetário Nacional seguem aprimorando o arcabouço regulatório que disciplina a governança corporativa das instituições, em consonância com as melhores práticas internacionais e com o objetivo de assegurar a solidez e a eficiência do Sistema Financeiro Nacional.

Dessa forma, em 25/11/2021, o BACEN publicou a Resolução CMN nº 4.968/2021, atualizando e aprimorando algumas regras concernentes aos sistemas de controles internos, buscando um maior nível de aderência das normas internas às melhores práticas reconhecidas internacionalmente, em especial as previstas nas publicações de Basileia e no próprio framework do COSO, intitulado Internal Control – Integrated Framework. Está em vigor desde 01/01/2022 e tendo, inclusive, revogado o normativo anterior (Resolução CMN nº 2.554/1998).

A nova Resolução CMN nº 4.968/2021 têm orientado os gestores quanto às boas práticas que devem ser adotadas para implantação e manutenção de um sistema de controles internos efetivo. Além disso, a resolução também aprimora as responsabilidades atribuídas à alta administração, especialmente ao conselho de administração, assim como detalha as responsabilidades da Diretoria da empresa. Prevê, ainda, que as instituições devem designar diretor responsável pelos assuntos de controles internos, podendo desempenhar outras funções na companhia, desde que não haja conflito de interesse (essa obrigação da designação vigorará a partir de 01/01/2023).

2) COSO: Origens

O COSO (ou Comitê das Organizações Patrocinadoras da Comissão Treadway) é um grupo consultivo que projeta estruturas para ajudar as organizações com questões de gerenciamento de risco. Uma de suas estruturas mais populares é a estrutura COSO para um controle interno eficaz.

Quanto às suas origens, a estrutura de controle interno do COSO foi introduzida pela primeira vez em 1992; uma versão revisada e mais moderna chegou em 2013, chamada de COSO ICIF, ou COSO ICF (COSO Internal Control Integrated Framework). Talvez a imagem mais conhecida da estrutura seja o famoso cubo do COSO, que é um diagrama tridimensional que mostra como os vários elementos de um sistema de controle interno funcionam juntos. Aplicável tanto a relatórios financeiros externos quanto a atividades de controle interno, a estrutura COSO se concentra nas inter-relações entre stakeholders e processos.

Trata-se do modelo utilizado como base para estruturas de controles internos mais utilizado globalmente (o próprio The IIA manifesta sua preferência por este modelo). É uma organização dedicada à melhoria na qualidade das informações financeiras através da ética nos negócios, controles internos eficazes e governança corporativa.

2.1) Objetivos do COSO

De acordo com o COSO, controle interno é definido como um processo implantado pelo conselho de administração, estrutura de governança, pelos executivos e outras pessoas em uma entidade, destinado a dar razoável segurança a respeito do alcance de objetivos nas seguintes categorias:

  1. Eficácia e eficiência das operações;
  2. Confiabilidade da divulgação financeira e informações não financeiras e;
  3. Conformidade e cumprimento das leis e normas aplicáveis.

Esses objetivos procuram auxiliar a organização a atingir seus propósitos mais importantes, ou seja, implantar com sucesso as estratégias corporativas para obter retornos para os acionistas. Os objetivos de controle visam auxiliar a organização a garantir que possui operações eficazes e eficientes relacionadas à sua estratégia geral, que suas atividades estão de acordo com as leis e normas regulatórias aplicáveis, que protege seus ativos contra roubo e fraude e que prepara informações financeiras precisas para fins de tomada interna de decisões e divulgação externa à comunidade de investidores.

Há outros elementos importantes na definição. O controle interno:

  • É um processo que visa permitir a consecução dos objetivos da organização;
    .
  • Parte do topo da organização, como o conselho de administração e os altos executivos e diretores, que criam e reforçam uma estrutura e um clima para o uso de controles na organização;
    .
  • Direta ou indiretamente inclui todas as pessoas na organização, desde o funcionário executor de uma atividade operacional com insumos ao auditor interno, ao diretor financeiro;
    .
  • É mais amplo do que o controle interno da divulgação financeira;
    .
  • O controle interno é aplicado a todas as atividades da organização, desde as áreas funcionais, às divisões de uma empresa, até às inter-relações que essa empresa possui.

2.2) Framework do COSO Controles Internos (COSO ICIF)

O COSO possui várias publicações, mas nesse artigo, meu foco e ênfase serão direcionados ao COSO I, ou COSO ICIF, ou ainda COSO ICF, que é conhecido como Internal Control – Integrated Framework. Sua finalidade é apoiar o alcance dos objetivos organizacionais, a emissão de relatórios confiáveis e tempestivos e a conformidade com as normas pertinentes ao negócio.

Compreender a estrutura do COSO pode trazer benefícios significativos às organizações. Ele fornece orientação sobre controles internos e como as organizações devem estabelecer controles em todo o seu ambiente. Um sistema sólido de controles internos fornece garantia razoável de que a organização opera de forma ética, transparente e alinhada com os padrões estabelecidos do setor.

Os conceitos atemporais do framework são: controles internos é um processo afetado por pessoas; fornece garantia razoável; e está voltado para o alcance de objetivos relacionados a operações, divulgação e compliance.

A estrutura COSO classifica os objetivos de controle interno nos três grupos a seguir:

  • Os objetivos operacionais incluem medidas de desempenho e proteção dos ativos da organização contra fraudes. Eles se concentram na eficácia e eficiência das transações, e também incluem conformidade com políticas e procedimentos internos.
    .
  • Os objetivos de divulgação, incluindo relatórios financeiros internos e externos e informações não financeiras, referem-se à transparência, pontualidade e confiabilidade dos relatórios da organização.
    .
  • Os objetivos de conformidade são metas de controle interno baseadas na adesão às leis governamentais e conformidade com leis e regulamentos externos.

2.3) Principais Benefícios na Adoção do COSO

Aplicar o COSO e os seus princípios ajudam a fortalecer e a sustentar um ambiente de controles adequado e eficaz. Logo, a implementação de controles internos eficazes e com uma estrutura coesa podem trazer muitos benefícios, incluindo, mas não se limitando a:

  • Alinhar os esforços de TI e os dados da organização com suas políticas de governança;
    .
  • Melhorar a qualidade, utilidade, confiabilidade e comparabilidade dos dados;
    .
  • Entregar dados de tomada de decisão para gerenciamento interno, investidores externos, provedores de recursos e outras partes interessadas;
    .
  • Fortalecer o entendimento da organização sobre seus riscos relevantes e as oportunidades de mitigação;
    .
  • Apoiar a transparência, eficiência e eficácia requeridas;
    .
  • Fornecer acesso mais fácil ao capital, especialmente para investidores de longo prazo, a um custo de capital significativamente menor.

Esses benefícios serão alcançados por organizações que alinham seus esforços com suas estratégias de negócios, pois estão focadas nas questões que têm os efeitos mais tangíveis. Métricas vinculadas a um sistema eficaz de controles internos fornecem às empresas e suas partes interessadas inteligência empresarial para apoiar a tomada de decisões, gerenciar a produção e alocar recursos.

2.4) Os Cinco Componentes do COSO Controles Internos

Os cinco componentes do COSO controles internos são os seguintes:

  1. Ambiente de Controle: cria uma abordagem de cima para baixo (“top down”) para conduzir o framework do COSO por toda a organização. Consiste em um conjunto de padrões, processos e procedimentos que são supervisionados e aplicados pela administração. O estabelecimento de controles em todo o ambiente garante que as práticas padrão e os valores éticos sejam usados em toda a organização.
    .
  2. Avaliação de Riscos: todas as organizações têm riscos e estão expostas a fatores que fazem com que não atinjam seus objetivos. As avaliações de risco são realizadas para avaliar fatores internos e externos. As avaliações fornecem uma garantia razoável de que as organizações estão gerenciando os riscos com uma tolerância aceitável.
    .
  3. Atividades de Controle: as atividades de controle são tomadas para mitigar o risco em todos os níveis da organização. O framework do COSO ajuda a garantir que as atividades de controle realizadas pelos membros da organização sejam eficazes para que a empresa atinja seus objetivos e trate os riscos.
    .
  4. Informação e Comunicação: os controles fornecidos pelo COSO ajudam a garantir que ocorra uma adequada comunicação. Isso inclui usar uma linguagem consistente e seguir as melhores práticas para compartilhar níveis apropriados de informações com as partes interessadas adequadas. Revisões de negócios formais de gerenciamento e reuniões com todos os funcionários, bem como bate-papos e e-mails informais se enquadram nesse componente.
    .
  5. Atividades de Monitoramento: o monitoramento contínuo e as auditorias internas de todos os sistemas de controle interno identificam os primeiros sinais de problemas e garantem a eficácia. Métricas e relatórios são fornecidos à administração e ao conselho de administração para uma avaliação contínua. As informações coletadas e avaliadas por reguladores e auditores verificam as atividades de controle. As auditorias de relatórios financeiros também ajudam na prevenção de fraudes.

O controle interno é um processo que obedece a uma estrutura lógica ligada ao atingimento dos objetivos da organização. As instituições identificam os riscos associados à consecução desses objetivos e implantam diversos processos para controlar e/ou mitigar essas ameaças.

2.5) Controle Interno Eficaz de Acordo com o COSO

A estrutura de controle interno do COSO ICIF possui 17 (dezessete) princípios para apoiar os 5 (cinco) componentes e os 3 (três) objetivos do sistema de controle interno.

De acordo com o COSO, um sistema eficaz de controle interno requer cada um dos cinco componentes e princípios relevantes estejam presentes e funcionando. Além disso, os cinco componentes devem operar juntos e de maneira integrada.

É crucial entender as definições do COSO relacionados aos termos:

  • Presente” refere-se à determinação de que o componente e os princípios relevantes existem no desenho e na implementação do sistema de controle interno para realizar os objetivos especificados. Ou seja, os componentes e princípios foram projetados e implantados através de controles.
    .
  • “Em funcionamento” refere-se à determinação de que os componentes e princípios relevantes continuam a existir nas operações e condução dos controles internos ao longo do tempo. Ou seja, continua a existir na aplicação do controle.
    .
  • “Operar juntos” refere-se à determinação de que todos os cinco componentes, em conjunto, reduzam a um nível aceitável o risco de não se atingir o objetivo.

Ao verificar se um componente está presente e funcionando, a alta administração, com a supervisão da estrutura de governança, precisa determinar até que ponto os princípios relevantes estão presentes e funcionando. Entretanto, o fato de um princípio estar presente e funcionando não significa que a organização se esforce para buscar o mais alto nível de desempenho na aplicação desse princípio em particular. Ao contrário, a administração exercerá julgamento na ponderação dos custos e benefícios do desenvolvimento, da implementação e da aplicação do controle interno.

Quando existe uma deficiência maior com respeito à presença e ao funcionamento de um componente ou princípio relevante, ou com respeito à operação conjunta dos componentes de uma forma integrada, a organização não pode concluir que já possui um sistema eficaz de controle interno.

Vamos a um exemplo para consolidar o conhecimento?

Tabela 1: Avaliação da presença e funcionamento de princípio do COSO na empresa

Breve descrição do cenário hipotético da empresa avaliada: A empresa ACME é uma fabricante de componentes eletrônicos de capital aberto, com oito divisões. Possui sede na Europa e com unidades de fabricação e varejo na Europa e América Latina.
Componente avaliado: Avaliação de Riscos.
Princípio avaliado: Princípio 7 - Identifica e analisa riscos: a organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
Este princípio está presente na empresa? Sim
Este princípio está funcionando na empresa? Não
Explicação / conclusão da avaliação: Esse princípio foi avaliado em cada unidade e uma deficiência de controle interno foi observada na “Unidade Bruxelas”, pois o processo para analisar os riscos a fim de determinar como eles devem ser gerenciados não está funcionando.

Foram selecionados e desenvolvidos controles detalhados (isto é, políticas e procedimentos escritos), mas eles não foram aplicados.

Os riscos não estão sendo analisados com eficácia para avaliar a sua importância e determinar como eles devem ser gerenciados.

A análise dos processos de avaliação de riscos nas outras unidades da empresa revelou que eles estavam presentes e funcionando.

.

Conseguiu perceber a diferença na prática? Ou seja, de que adianta ter (existir) políticas e procedimentos escritos se não são seguidos e aplicados na empresa?

3) Resolução BACEN de Controles Internos (Res. CMN nº 4.968/2021 e o COSO)

Agora que percorremos as principais informações acerca do COSO (e do COSO ICIF), estamos preparados para dar o próximo passo, que é conectá-lo com os requisitos da Resolução CMN nº 4.968, que aborda sobre o sistema de controles internos que as instituições reguladas pelo Banco Central do Brasil devem possuir.

Para começarmos, vamos pegar o Art. 3º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles Internos”, na “Seção I – Da Obrigatoriedade e dos Objetivos”:

Tabela 2: Relação da finalidade dos controles internos conforme resolução 4.968 x referência no COSO ICIF:

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II - DOS SISTEMAS DE CONTROLES INTERNOS

Seção I - Da Obrigatoriedade e dos Objetivos

Art. 3º  Os sistemas de controles internos devem ter como finalidade o atingimento dos objetivos de:
* * *
I - desempenho: relacionado à eficiência e à efetividade no uso dos recursos nas atividades desenvolvidas; Objetivos operacionais
II - informação: relacionado à divulgação voluntária ou obrigatória, interna ou externa, de informações financeiras, operacionais e gerenciais, que sejam úteis para o processo de tomada de decisão; e Objetivos de divulgação
III - conformidade: relacionado ao cumprimento de disposições legais, regulamentares e previstas em políticas e códigos internos. Objetivos de conformidade

 

Viu como os objetivos se entrelaçam?

3.1) Elementos da Resolução 4.968/21 versus Componentes do COSO ICIF

Agora, vamos seguir em frente. Pegamos agora o Art. 5º da Resolução CMN nº 4.968 e os seus cinco incisos e os correlacionamos com os cinco componentes equivalentes do COSO ICIF:

Tabela 3: Relação entre as características dos controles da Resolução 4.968 x componentes do COSO ICIF

ELEMENTOS DA RESOLUÇÃO 4.968/2021 COMPONENTES DO COSO ICIF
CAPÍTULO II - DOS SISTEMAS DE CONTROLES INTERNOS

Seção II - Das Características Essenciais

Art. 5º Os sistemas de controles internos devem prever:
* * *
I - quanto aos aspectos relacionados à cultura de controle. Ambiente de Controle
II - quanto aos aspectos relacionados à identificação e à avaliação de riscos. Avaliação de Riscos
III - quanto aos aspectos relacionados às atividades de controle e segregação de funções. Atividades de Controle
IV - quanto aos aspectos relacionados à informação e à comunicação. Informação e Comunicação
V - quanto aos aspectos relacionados ao monitoramento. Monitoramento

 

Percebeu a sinergia e relacionamento entre o normativo e o COSO ICIF?

Só a título de informação e curiosidade (mesmo porque está revogada desde 01/01/2022), você também podia visualizar essa correlação com o COSO observando a Circular nº 3.467/2009, que estabelecia critérios para elaboração dos relatórios de avaliação da qualidade e adequação do sistema de controles internos e de descumprimento de dispositivos legais e regulamentares.

3.2) Requerimentos da Resolução 4.968/21 (cultura) versus Referências do COSO ICIF

Agora que você já viu, de forma macro, o relacionamento entre os incisos de I a V do Art. 5º da Resolução CMN nº 4.968 (o que os sistemas de controles internos devem prever) com os cinco elementos do COSO, vamos explorar cada um deles?

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados à cultura de controle versus os princípios do COSO que você pode utilizar para endereçá-los.

Para fins de padronização das terminologias usadas nas tabelas mais abaixo, cabe frisar que nelas haverão as seguintes informações:

  • Componentes: os componentes representam o que é necessário para atingir os objetivos (são cinco componentes de acordo com o COSO).
    .
  • Princípios: são conceitos fundamentais associados aos componentes. Os princípios são características importantes dos componentes. Os controles fornecem evidências de que os princípios relevantes estão funcionando na companhia.
    .
  • Pontos focais do princípio: são características importantes dos princípios e auxiliam no desenho, implantação ou aplicação do princípio. Nas tabelas a seguir, os pontos focais foram listados através de marcadores romanos (i, ii, iii etc.), logo abaixo dos princípios que estão associados. Os pontos de foco e os controles estão sujeitos a julgamentos da administração.

Tabela 4: Relação entre requerimentos do BACEN (cultura de riscos e controles) versus referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais

Art. 5º Os sistemas de controles internos devem prever:
* * *
I – quanto aos aspectos relacionados à cultura de controle Componente: Ambiente de Controle
a) definição das responsabilidades dos funcionários nos sistemas de controles internos e dos respectivos meios para o seu eficaz cumprimento; Princípio 2: A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno.
(i) Estabelecer as responsabilidades pela supervisão;
(ii) Utilizar experiências relevantes (membros devem estar capacitados a questionar e tomar ações compatíveis);
(iii) Operar de forma independente (membros independentes em número suficiente e objetivos);
(iv) Exercer a supervisão do sistema de controle interno (desenho, implementação e aplicação dos 5 componentes pela administração).

Princípio 3: A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
(i) Considerar todas as estruturas da entidade;
(ii) Estabelecer linhas de subordinação;
(iii) Definir, atribuir e limitar autoridades e responsabilidades:
a. Estrutura de governança;
b. Alta administração;
c. Administração (Supervisores/Gestores);
d. Equipe (Staff);
e. Prestadores de serviços terceirizados.

Princípio 4: A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos.
(i) Estabelecer políticas e práticas (definição de competências necessárias);
(ii) Avaliar a competência e tratar as deficiências (na organização e prestadores de serviços);
(iii) Atrair, desenvolver e reter talentos (aconselhamento e treinamento; recursos suficientes e competentes);
(iv) Planejar e preparar a sucessão (planos devem ser desenvolvidos pela alta administração e estrutura de governança).
b) obrigatoriedade de comunicação tempestiva ao adequado nível gerencial, por parte dos funcionários, de:

1. problemas nas operações;

2. situações de não conformidade com os padrões de conduta definidos pela instituição; e

3. violações das políticas da instituição ou de disposições legais e regulamentares;
Princípio 1: A organização demonstra ter comprometimento com a integridade e os valores éticos.
(i) Liderar pelo exemplo.
(ii) Estabelecer normas de conduta.
(iii) Avaliar a adesão às normas de conduta.
(iv) Tratar decisões de forma oportuna.

Princípio 2: A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno.
(i) Estabelecer as responsabilidades pela supervisão;
(ii) Utilizar experiências relevantes (membros devem estar capacitados a questionar e tomar ações compatíveis);
(iii) Operar de forma independente (membros independentes em número suficiente e objetivos);
(iv) Exercer a supervisão do sistema de controle interno (desenho, implementação e aplicação dos 5 componentes pela administração).

Princípio 3: A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.
(i) Considerar todas as estruturas da entidade;
(ii) Estabelecer linhas de subordinação;
(iii) Definir, atribuir e limitar autoridades e responsabilidades:
a. Estrutura de governança;
b. Alta administração;
c. Administração (Supervisores/Gestores);
d. Equipe (Staff);
e. Prestadores de serviços terceirizados.

Princípio 14: A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando tempestividade, público e natureza).
c) proibições de estabelecimento de metas de desempenho que incentivem a tomada de riscos em desacordo com os níveis determinados pela alta administração; Princípio 5: A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos.
(i) Exigir a prestação de contas por meio de estruturas, autoridades e responsabilidades (comunica, obriga a prestar contas, implementa ações corretivas);
(ii) Estabelecer métricas, incentivos e recompensas de desempenho;
(iii) Avaliar continuamente a relevância de métricas, incentivos e recompensas de desempenho;
(iv) Considerar pressões excessivas (avaliar e ajustar);
(v) Avaliar o desempenho e recompensar ou aplicar ações disciplinares às pessoas.

Princípio 8: A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.
(i) Considerar os vários tipos de fraude;
(ii) Avaliar incentivos e pressões;
(iii) Avaliar oportunidades;
(iv) Avaliar atitudes e racionalizações.
d) formalização do compromisso com a ética e com a integridade, incluindo o cumprimento do código de ética ou de documento equivalente; Princípio 1: A organização demonstra ter comprometimento com a integridade e os valores éticos.
(i) Liderar pelo exemplo.
(ii) Estabelecer normas de conduta.
(iii) Avaliar a adesão às normas de conduta.
(iv) Tratar decisões de forma oportuna.
e) divulgação do código de ética ou documento equivalente; Princípio 1: A organização demonstra ter comprometimento com a integridade e os valores éticos.
(i) Liderar pelo exemplo.
(ii) Estabelecer normas de conduta.
(iii) Avaliar a adesão às normas de conduta.
(iv) Tratar decisões de forma oportuna.

Princípio 14: A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando tempestividade, público e natureza).

O ambiente de controle de uma empresa é complexo, e sua avaliação geralmente alguma subjetividade.

.

Vamos em frente?

3.3) Requerimentos da Resolução 4.968/21 (riscos) versus Referências do COSO ICIF

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados à identificação e avaliação de riscos versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 5: Relação entre requerimentos do BACEN (riscos) versus referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais

Art. 5º Os sistemas de controles internos devem prever:
* * *
II – quanto aos aspectos relacionados à identificação e à avaliação de riscos: Componente: Avaliação de Riscos
a) meios para identificar e avaliar continuamente os fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição e, quando aplicável, do grupo econômico que esta integra; Princípio 6: A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.
(i) Objetivos operacionais;
(ii) Objetivos de divulgação financeira externa;
(iii) Objetivos de divulgação não financeira externa;
(iv) Objetivos de divulgação interna;
(v) Objetivos de conformidade.

Princípio 7: A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
(i) Incluir os níveis de entidade, subsidiária, divisão, unidade operacional e áreas funcionais;
(ii) Analisar fatores internos e externos;
(iii) Envolver os níveis apropriados da administração;
(iv) Estimar a importância dos riscos identificados;
(v) Determinar como responder aos riscos.

Princípio 9: A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.
(i) Avaliar mudanças no ambiente externo (ex.: Regulatório, Econômico, Físico [desastres naturais]).
(ii) Avaliar mudanças no modelo de negócios (ex.: nova linha, aquisições, operações no exterior, rápido crescimento, nova tecnologia incorporada.
(iii) Avaliar mudanças na liderança (filosofia diferente).
b) revisão e atualização periódica dos sistemas de controles internos, com a inclusão de medidas relacionadas a riscos novos ou não abordados anteriormente; Princípio 9: A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.
(i) Avaliar mudanças no ambiente externo (ex.: Regulatório, Econômico, Físico [desastres naturais]).
(ii) Avaliar mudanças no modelo de negócios (ex.: nova linha, aquisições, operações no exterior, rápido crescimento, nova tecnologia incorporada.
(iii) Avaliar mudanças na liderança (filosofia diferente).

Princípio 16: A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e situação atual);
(iv) Utilizar pessoal com conhecimento;
(v) Integrar aos processos de negócios;
(vi) Ajustar o escopo e a frequência;
(vii) Avaliar objetivamente.
c) medidas para mitigação dos riscos não tolerados e não controlados; e Princípio 6: A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.
(i) Objetivos operacionais;
(ii) Objetivos de divulgação financeira externa;
(iii) Objetivos de divulgação não financeira externa;
(iv) Objetivos de divulgação interna;
(v) Objetivos de conformidade.

Princípio 7: A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.
(i) Incluir os níveis de entidade, subsidiária, divisão, unidade operacional e áreas funcionais;
(ii) Analisar fatores internos e externos;
(iii) Envolver os níveis apropriados da administração;
(iv) Estimar a importância dos riscos identificados;
(v) Determinar como responder aos riscos.
d) análise do potencial de ocorrência de fraudes nas atividades desenvolvidas em todos os níveis de negócios; Princípio 8: A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.
(i) Considerar os vários tipos de fraude;
(ii) Avaliar incentivos e pressões;
(iii) Avaliar oportunidades;
(iv) Avaliar atitudes e racionalizações.

 

Percebe como o COSO está intimamente ligado e pode ser nosso grande aliado?

3.4) Requerimentos da Resolução 4.968/21 (controles) versus Referências do COSO ICIF

Agora, vamos partir para o próximo elemento. Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados às atividades de controle e segregação de funções versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 6: Relação entre requerimentos do BACEN (controles) versus referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais

Art. 5º Os sistemas de controles internos devem prever:
* * *
III – quanto aos aspectos relacionados às atividades de controle e segregação de funções: Componente: Atividades de Controle
a) políticas e procedimentos de controle, bem como a verificação do seu cumprimento; Princípio 12: A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas.
(i) Estabelecer políticas (o que é esperado) e procedimentos (ações) para apoiar a implementação das diretrizes da administração;
(ii) Estabelecer responsabilidade e prestação de contas pela execução das políticas e procedimentos;
(iii) Realizar tempestivamente (tempo hábil, conforme definido);
(iv) Tomar ações corretivas (investiga e atua);
(v) Realizar recorrendo a pessoal competente;
(vi) Reavaliar políticas e procedimentos (quanto a contínua relevância e atualização).
b) revisão e acompanhamento de atividades relevantes pelos adequados níveis gerenciais; Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).
c) controles de atividades apropriados para os diferentes departamentos ou áreas de negócios; Princípio 11: A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.
(i) Determinar a dependência entre o uso da tecnologia nos processos de negócios e os controles gerais de tecnologia (AC automatizadas e controles gerais);
(ii) Estabelecer atividades de controle sobre a infraestrutura de tecnologia relevante (assegurar a completude, exatidão e disponibilidade);
(iii) Estabelecer atividades de controle sobre os processos relevantes de gerenciamento de segurança (restringir direitos de acesso e proteger ativos contra ameaças externas);
(iv) Estabelecer atividades de controle sobre os processos relevantes de aquisição, desenvolvimento e manutenção de tecnologia (a fim de realizar os objetivos).
d) controles físicos de ativos de valor, como acesso restrito, dupla custódia e inventários periódicos; Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).
e) verificação do cumprimento dos limites de exposição e acompanhamento das situações de não conformidades; Princípio 12: A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas.
(i) Estabelecer políticas (o que é esperado) e procedimentos (ações) para apoiar a implementação das diretrizes da administração;
(ii) Estabelecer responsabilidade e prestação de contas pela execução das políticas e procedimentos;
(iii) Realizar tempestivamente (tempo hábil, conforme definido);
(iv) Tomar ações corretivas (investiga e atua);
(v) Realizar recorrendo a pessoal competente;
(vi) Reavaliar políticas e procedimentos (quanto a contínua relevância e atualização).
f) sistema de aprovações e autorizações de transações sensíveis e de verificação e reconciliação; Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).
g) segregação apropriada das funções atribuídas aos integrantes da instituição, de forma a evitar situações de conflito de interesses; Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).

Princípio 11: A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.
(i) Determinar a dependência entre o uso da tecnologia nos processos de negócios e os controles gerais de tecnologia (AC automatizadas e controles gerais);
(ii) Estabelecer atividades de controle sobre a infraestrutura de tecnologia relevante (assegurar a completude, exatidão e disponibilidade);
(iii) Estabelecer atividades de controle sobre os processos relevantes de gerenciamento de segurança (restringir direitos de acesso e proteger ativos contra ameaças externas);
(iv) Estabelecer atividades de controle sobre os processos relevantes de aquisição, desenvolvimento e manutenção de tecnologia (a fim de realizar os objetivos).
h) identificação e monitoramento independentes de áreas que possuam potencial conflito de interesses, com revisão periódica das responsabilidades e das funções que possam gerar conflitos dessa natureza; Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).
i) controles que visem a evitar o envolvimento da instituição em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos; Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).
j) procedimentos e controles previstos na legislação e regulamentação vigentes, visando à prevenção da utilização do sistema financeiro para a prática dos crimes de “lavagem” ou ocultação de bens, direitos e valores, e de financiamento do terrorismo; e Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).
k) controles para prevenção, detecção, investigação e correção de fraudes; Princípio 8: A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.
(i) Considerar os vários tipos de fraude;
(ii) Avaliar incentivos e pressões;
(iii) Avaliar oportunidades;
(iv) Avaliar atitudes e racionalizações.

Princípio 10: A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.
(i) Integrar-se com a avaliação de riscos (assegurar respostas);
(ii) Considerar fatores específicos à entidade (ambiente, complexidade, natureza e escopo de operações…);
(iii) Determinar os processos de negócios relevantes (quais requerem atividades de controle e se estão terceirizados);
(iv) Avaliar a combinação de tipos de atividades de controle (manuais, automatizados, preventivos, detecção);
(v) Considerar em quais níveis da entidade as atividades são realizadas (nível de transações ou nível mais alto) (ex.: Compras [variações]; Anal. de Desemp. de Neg. [real x orçado]);
(vi) Abordar a segregação de funções (ou alternativas de controle quando não é possível).

 

Praticamente todas as fraudes relevantes financeiras já ocorridas estiveram associadas com organizações que possuíam deficiências em seu ambiente de controle. Quer exemplos? WorldCom, Enron, Adelphia e instituições que sofreram com a crise financeira, como Lehman Brothers, Merrill Lynch e Citi.

Aliás, você sabia que a Enron possuía um dos melhores códigos de ética “escritos” da época? Entretanto, o conselho de administração costumeiramente anulava exigências envolvendo “conflitos de interesse”. Assim, permitiu que Andy Fastow, tesouro da empresa, montasse entidades com fins específicos cuja única finalidade era inflacionar lucros ou esconder prejuízos da empresa.

Controles são desenvolvidos para reduzir os riscos. Eles devem ser específicos aos riscos da organização e aos seus métodos de processamento de transações. Não há um conjunto único de controles recomendados que devem ser utilizados por todas as empresas. Há alguns, como o de segregação de funções e atividades, que podem ser comuns nas empresas, mas implantados de maneiras distintas. Por isso é importante que a administração identifique e implante os controles mais eficazes, em termos de custos e alinhados às suas necessidades, para lidar com riscos relevantes.

Além disso, as atividades de controle também se destinam a reduzir riscos associados a operações ineficazes ou ao descumprimento de políticas regulatórias ou da empresa. Os riscos e controles associados a operações e cumprimento de políticas comumente precisam ser considerados.

Note que o BACEN deixa, de maneira explícita, a menção a “segregação de funções”, e isso faz muito sentido devido a sua relevância e impacto que pode causar se negligenciada. A segregação tem como finalidade proteger contra o risco que um indivíduo possa perpetrar e encobrir uma fraude. Embora a segregação seja muito eficaz do ponto de vista de atenuar o risco, ela pode ser anulada por meio de conluio entre os funcionários. As organizações de menor porte devem considerar outras maneiras de atenuar o risco, pois geralmente não possuem pessoas suficientes para segregar plenamente todas as funções (adotar um controle de revisão periódico da atividade pode ser uma alternativa).

Muitas das atividades importantes de controle baseiam-se em políticas, procedimentos e no comprometimento de competência resultante do ambiente de controle da empresa.

3.5) Requerimentos da Resolução 4.968/21 (informação/comunicação) versus Referências do COSO ICIF

Surpreso até o momento em como as coisas estão conversando umas com as outras? Então continua aqui acompanhando.

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltados às informações e comunicações versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 7: Relação entre requerimentos do BACEN (informação e comunicação) versus referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais

Art. 5º Os sistemas de controles internos devem prever:
* * *
IV – quanto aos aspectos relacionados à informação e à comunicação: Componente: Informação e Comunicação
a) canais de comunicação efetivos que assegurem aos funcionários, segundo o correspondente nível de atuação, o acesso a informações compreensíveis, confiáveis, tempestivas e relevantes para realização de suas tarefas e cumprimento de suas responsabilidades; Princípio 14: A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando tempestividade, público e natureza).
b) fluxos de informações adequados para que os objetivos, estratégias, expectativas, políticas e procedimentos estabelecidos pelos superiores cheguem aos funcionários e as informações relevantes sejam compartilhadas entre os componentes organizacionais; Princípio 14: A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando tempestividade, público e natureza).
c) metodologias para o registro e a manutenção de informações internas à instituição, como dados financeiros, operacionais e de conformidade; Princípio 13: A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.
(i) Identificar os requisitos de informações (informações necessárias para outros componentes e realização de objetivos);
(ii) Capturar fontes internas e externas de dados;
(iii) Processar dados relevantes em informações;
(iv) Manter a qualidade durante todo o processamento (tempestiva, atual, exata, completa, acessível, protegida, verificável e retida);
(v) Considerar custos e benefícios.

Princípio 14: A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando tempestividade, público e natureza).
d) diretrizes para a utilização de fontes externas de informações e para a divulgação ao público externo sobre eventos e condições de mercado relevantes para a tomada de decisão; Princípio 13: A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.
(i) Identificar os requisitos de informações (informações necessárias para outros componentes e realização de objetivos);
(ii) Capturar fontes internas e externas de dados;
(iii) Processar dados relevantes em informações;
(iv) Manter a qualidade durante todo o processamento (tempestiva, atual, exata, completa, acessível, protegida, verificável e retida);
(v) Considerar custos e benefícios.

Princípio 15: A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno.
(i) Comunicar-se com públicos externos (forma estruturada para informações relevantes).
(ii) Possibilitar o recebimento de comunicações (clientes, fornecedores, auditores externos, órgãos reguladores, analistas financeiros, …).
(iii) Comunicar-se com a estrutura de governança (resultado de avaliações externas).
(iv) Fornecer linhas de comunicação independentes.
(v) Selecionar métodos de comunicação relevantes (de acordo com tempestividade, público, natureza, requisitos e expectativas legais, regulatórias e fiduciárias).
e) sistemas de informação confiáveis e as respectivas medidas de segurança e monitoramento independente para sua manutenção; Princípio 13: A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.
(i) Identificar os requisitos de informações (informações necessárias para outros componentes e realização de objetivos);
(ii) Capturar fontes internas e externas de dados;
(iii) Processar dados relevantes em informações;
(iv) Manter a qualidade durante todo o processamento (tempestiva, atual, exata, completa, acessível, protegida, verificável e retida);
(v) Considerar custos e benefícios.
f) requisitos relacionados ao adequado processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada; Princípio 13: A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.
(i) Identificar os requisitos de informações (informações necessárias para outros componentes e realização de objetivos);
(ii) Capturar fontes internas e externas de dados;
(iii) Processar dados relevantes em informações;
(iv) Manter a qualidade durante todo o processamento (tempestiva, atual, exata, completa, acessível, protegida, verificável e retida);
(v) Considerar custos e benefícios.
g) testes periódicos de segurança para os sistemas de informações e de tecnologia; e Princípio 16: A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e situação atual);
(iv) Utilizar pessoal com conhecimento;
(v) Integrar aos processos de negócios;
(vi) Ajustar o escopo e a frequência;
(vii) Avaliar objetivamente.
h) planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da instituição em decorrência de eventos fora do seu controle, com previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por terceiros; Princípio 4: A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos.
(i) Estabelecer políticas e práticas (definição de competências necessárias);
(ii) Avaliar a competência e tratar as deficiências (na organização e prestadores de serviços);
(iii) Atrair, desenvolver e reter talentos (aconselhamento e treinamento; recursos suficientes e competentes);
(iv) Planejar e preparar a sucessão (planos devem ser desenvolvidos pela alta administração e estrutura de governança).

Princípio 11: A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.
(i) Determinar a dependência entre o uso da tecnologia nos processos de negócios e os controles gerais de tecnologia (AC automatizadas e controles gerais);
(ii) Estabelecer atividades de controle sobre a infraestrutura de tecnologia relevante (assegurar a completude, exatidão e disponibilidade);
(iii) Estabelecer atividades de controle sobre os processos relevantes de gerenciamento de segurança (restringir direitos de acesso e proteger ativos contra ameaças externas);
(iv) Estabelecer atividades de controle sobre os processos relevantes de aquisição, desenvolvimento e manutenção de tecnologia (a fim de realizar os objetivos).

 

Cabe frisar que não basta que uma empresa tenha um sistema de informação que facilite a identificação oportuna de problemas de desempenho e falhas de controle. O sistema de informação, em si próprio, não é suficiente. Ele deve permitir que seja feita a comunicação às pessoas certas para garantir que as providências necessárias sejam tomadas.

Desde o surgimento da SOX, há um reconhecimento claro da necessidade de uma comunicação “de baixo para cima”, particularmente, quando um funcionário está preocupado com algo que considera impróprio nas operações da empresa (afinal, se lembra das fraudes que comente mais acima?). Isso é o que se chama de “função de denúncia”, que comumente inclui processos que permitem que a comunicação seja feita de forma anônima e não leve a represálias.

3.6) Requerimentos da Resolução 4.968/21 (monitoramento) versus Referências do COSO ICIF

Preparados para seguirmos para o último dos elementos? Vamos lá!

Na tabela abaixo, correlacionei os aspectos requeridos pelo BACEN quanto à previsão dos sistemas de controles internos voltadas às atividades de monitoramento versus os princípios do COSO que você pode utilizar para endereçá-los:

Tabela 8: Relação entre requerimentos do BACEN (monitoramento) versus referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção II – Das Características Essenciais

Art. 5º Os sistemas de controles internos devem prever:
* * *
V – quanto aos aspectos relacionados ao monitoramento: Componente: Atividades de Monitoramento
a) monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição; Princípio 16: A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e situação atual);
(iv) Utilizar pessoal com conhecimento;
(v) Integrar aos processos de negócios;
(vi) Ajustar o escopo e a frequência;
(vii) Avaliar objetivamente
b) avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição; Princípio 16: A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e situação atual);
(iv) Utilizar pessoal com conhecimento;
(v) Integrar aos processos de negócios;
(vi) Ajustar o escopo e a frequência;
(vii) Avaliar objetivamente.
c) acompanhamento sistemático das atividades desenvolvidas, para avaliar, no mínimo, se:

1. os objetivos da instituição estão sendo alcançados;

2. os limites estabelecidos e as leis e regulamentos aplicáveis estão sendo cumpridos; e

3. eventuais desvios identificados estão sendo prontamente corrigidos;
Princípio 17: A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável.
(i) Avaliar resultados (administração e estrutura de governança);
(ii) Comunicar deficiências (a quem deve tomar ação);
(iii) Monitorar as ações corretivas (administração deve acompanhar).
d) atualização de premissas, das metodologias e dos modelos de gestão de riscos; e Princípio 16: A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.
(i) Considerar uma combinação de avaliações contínuas e independentes;
(ii) Considerar o ritmo das mudanças (exigências de divulgação externa podem afetar a combinação);
(iii) Estabelecer o entendimento da base de referência (desenho e situação atual);
(iv) Utilizar pessoal com conhecimento;
(v) Integrar aos processos de negócios;
(vi) Ajustar o escopo e a frequência;
(vii) Avaliar objetivamente.

Princípio 17: A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável.
(i) Avaliar resultados (administração e estrutura de governança);
(ii) Comunicar deficiências (a quem deve tomar ação);
(iii) Monitorar as ações corretivas (administração deve acompanhar).
e) metodologia e canais de relato sobre deficiências nos controles internos aos responsáveis, à diretoria e ao conselho de administração, no caso de falhas materiais. Princípio 17: A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável.
(i) Avaliar resultados (administração e estrutura de governança);
(ii) Comunicar deficiências (a quem deve tomar ação);
(iii) Monitorar as ações corretivas (administração deve acompanhar).

 

Os processos de monitoramento contínuo são projetados para identificar falhas de controle, geralmente mediante a constatação de atividades e resultados fora do normal, inesperados ou incompatíveis com os objetivos da empresa.

O monitoramento é um componente importante de controle interno. A identificação de falhas deve ser acompanhada por ações gerenciais para que seja determinada a causa fundamental do problema, para assegurar que ações corretivas sejam tomadas.

3.7) Requerimentos da Resolução 4.968/21 (emissão relatório anual de controles internos) versus Referências do COSO ICIF

Da parte dos aspectos esperados pelo BACEN no sistema de controles internos, é o que apresentamos até então. Agora, vamos seguir indo além e explorando mais outros aspectos relevantes da Resolução CMN nº 4.968 e cruzando com os elementos do COSO para que você possa aproveitar.

Observe que o Art. 6º da Resolução CMN nº 4.968, no “Capítulo II – Dos Sistemas de Controles Internos”, na “Seção III – Dos Relatórios Periódicos”, apresenta a obrigatoriedade da emissão de relatório anual, listando o conteúdo mínimo que deverá ser enquadrado:

Tabela 9: Relação entre requerimentos do BACEN (emissão relatório anual) versus referências do COSO ICIF

REQUERIMENTOS DA RESOLUÇÃO 4.968/2021 REFERÊNCIAS NO COSO ICIF
CAPÍTULO II – DOS SISTEMAS DE CONTROLES INTERNOS

Seção III – Dos Relatórios Periódicos

Art. 6º O acompanhamento sistemático das atividades relacionadas com os sistemas de controles internos deve ser objeto de relatório anual, contendo:
* * *
I – a avaliação sobre a adequação e a efetividade dos sistemas de controles internos;

II – as recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento, quando for o caso; e

III – a manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las.
Princípio 14: A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.
(i) Comunicar as informações de controle interno (para entendimento e condução de responsabilidades de controle interno).
(ii) Comunicar-se com a estrutura de governança (entre a alta administração e estrutura de governança para cumprir suas funções).
(iii) Fornecer linhas de comunicação independentes (anônimo e confidencial quando canais normas estão inoperantes ou são ineficazes).
(iv) Selecionar métodos de comunicação relevantes (considerando tempestividade, público e natureza).

Princípio 15: A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno.
(i) Comunicar-se com públicos externos (forma estruturada para informações relevantes).
(ii) Possibilitar o recebimento de comunicações (clientes, fornecedores, auditores externos, órgãos reguladores, analistas financeiros, …).
(iii) Comunicar-se com a estrutura de governança (resultado de avaliações externas).
(iv) Fornecer linhas de comunicação independentes.
(v) Selecionar métodos de comunicação relevantes (de acordo com tempestividade, público, natureza, requisitos e expectativas legais, regulatórias e fiduciárias).
Parágrafo único. O relatório de que trata o caput deve: * * *
I – ser submetido ao conselho de administração ou, se inexistente, à Diretoria, bem como às auditorias interna e externa da instituição; e

II – permanecer à disposição do Banco Central do Brasil pelo prazo de cinco anos.
* * *

4) Links adicionais para saber mais:

5) Referências

.

* * * * *

.

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.