INFORMAÇÕES COMPLEMENTARES

1. HISTÓRICO DAS ATUALIZAÇÕES DA NBC-CTA-33
2. NORMAS CORRELACIONADAS
3. OUTRAS INFORMAÇÕES SOBRE A NBC-CTA-33

1. HISTÓRICO DAS ATUALIZAÇÕES DA NBC-CTA-32

1. NBC-CTA-33 - ELABORAÇÃO DO RELATÓRIO SOBRE O SISTEMA DE CONTROLES INTERNOS E DESCUMPRIMENTO DE DISPOSITIVOS LEGAIS E REGULAMENTARES EM INSTITUIÇÕES AUTORIZADAS A FUNCIONAR PELO BANCO CENTRAL DO BRASIL - [PDF] - DOU 28/09/2022

2. NORMAS CORRELACIONADAS

1. Circular BCB 3.467/2009, alterada pela Circular BCB 3.482/2010 - REVOGADAS pela Resolução BCB 130/2021
2. Resolução CMN 4.910/2021, que dispõe sobre a prestação de serviços de auditoria independente para as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil
3. Resolução CMN 4.968/2021, que dispõe sobre os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
4. Resolução BCB 130/2021, que dispõe sobre a prestação de serviços de auditoria independente para as administradoras de consórcio e as instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil e estabelece os procedimentos específicos para elaboração dos relatórios resultantes do trabalho de auditoria independente realizado nas instituições financeiras e nas demais instituições autorizadas a funcionar pelo Banco Central do Brasil
5. Decreto-Lei 9.295/1946 (alínea “f” do Art. 6º)
6. NBC-TA-200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria
7. NBC TA 240 - Responsabilidade do Auditor em Relação à Fraude no Contexto da Auditoria de Demonstrações Contábeis
8. NBC-TA-250 - Consideração de Leis e Regulamentos na Auditoria de Demonstrações Contábeis
9. NBC-TA-260 - Comunicação com os Responsáveis pela Governança
10. NBC-TA-265 - Comunicação de Deficiências do Controle Interno
11. NBC-TA-315 - Identificação e Avaliação dos Riscos de Distorção Relevante
12. NBC-TA-330 - Resposta do Auditor aos Riscos Avaliados
13. NBC-TA-450 - Avaliação das Distorções Identificadas durante a Auditoria
14. NBC-TA-580 - Representações Formais
15. NBC-TA-700 - Formação da Opinião e Emissão do Relatório do Auditor Independente sobre as Demonstrações Contábeis
16. Resolução CVM 23/2021 - O relatório circunstanciado criado pela CVM é mais abrangente, requerendo a comunicação de todas as deficiências identificadas.
17. NBC-CTA - COMUNICADOS TÉCNICOS DE AUDITORIA INDEPENDENTE
18. NBC TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE
19. NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

3. TEXTOS ELUCIDATIVOS

1. ABR - Auditoria Baseada em Riscos - Compliance, Auditoria Interna, Auditoria Independente, Perícia Contábil, Revisão de Qualidade pelos Pares, Ouvidoria, Comitê de Auditoria, Conselho Fiscal ou Conselho , Conselho de Administração = Governança Corporativa
2. CT - Comunicado Técnico nbc-cta-IBRACON 003/2010 (R1)

4. OUTRAS INFORMAÇÕES SOBRE A NBC-CTA-33

NORMA BRASILEIRA DE CONTABILIDADE, CTA 33, DE 19 DE JULHO DE 2021

Orientação para elaboração do relatório sobre o sistema de controles internos e descumprimento de dispositivos legais e regulamentares em instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, incluindo administradoras de consórcio e instituições de pagamento, a que se referem a Resolução CMN 4.910/2022 e Resolução BCB 130/2022.

O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais e com fundamento no disposto na  alínea “f” do Art. 6º do Decreto-Lei 9.295/1946, alterado pela Lei 12.249/2010 [Veja os artigos 76 e 77], faz saber que foi aprovada em seu Plenário, a seguinte Norma Brasileira de Contabilidade (NBC), que tem por base o CT 03/2010 (R1) do Instituto dos Auditores Independentes do Brasil (Ibracon):

OBJETIVO - item 1

1. Este Comunicado Técnico (CT) tem por objetivo orientar os auditores independentes na elaboração do relatório sobre o sistema de controles internos e de descumprimento de dispositivos legais e regulamentares (“relatório”) a que se refere a Resolução CMN BCB 4.910 do Conselho Monetário Nacional (CMN) e Resolução CMN BCB 130 do Banco Central do Brasil (BCB), e regulamentações complementares.

INTRODUÇÃO - item 2 - 6

2. Em 14 de setembro de 2009, o Banco Central do Brasil (BCB) emitiu a Circular BCB 3.467/2009 (revogada), alterada pela Circular BCB 3.482/2010 (revogada), de 20 de janeiro de 2010, que teve aplicação inicial para o semestre que se findou em 30 de junho de 2010.

3. Em 27 de maio de 2021, o Conselho Monetário Nacional (CMN) emitiu a Resolução CMN 4.910/2021, que dispõe sobre a prestação de serviços de auditoria independente para as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

4. Em 20 de agosto de 2021, o BCB emitiu a Resolução BCB 130/2021, que dispõe sobre a prestação de serviços de auditoria independente para as administradoras de consórcio e as instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil e estabelece os procedimentos específicos para elaboração dos relatórios resultantes do trabalho de auditoria independente realizado nas instituições financeiras e nas demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Essa resolução revogou a Circular BCB 3.467/2009 e Circular BCB 3.482/2010.

5. Em 25 de novembro de 2021, o CMN emitiu a Resolução CMN 4.968/2021, que dispõe sobre os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

6. A Resolução CMN 4.910/2021 e a Resolução BCB 130/2021, em suas alíneas (b) e (c) do inciso II do art. 21, estabelecem que o auditor independente deve elaborar, como resultado do trabalho de auditoria, os seguintes relatórios:

1. “do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos, que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada, evidenciando as deficiências identificadas”; e
2. “de descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada".

ALCANCE DOS TRABALHOS DOS AUDITORES INDEPENDENTES SEGUNDO AS NORMAS BRASILEIRAS E INTERNACIONAIS DE AUDITORIA ESTABELECIDAS PELO CONSELHO FEDERAL DE CONTABILIDADE E AS COMUNICAÇÕES SOBRE AS DEFICIÊNCIAS NO CONTROLE INTERNO E DE DESCUMPRIMENTO DE DISPOSITIVOS LEGAIS E REGULAMENTARES - itens 7 - 16

7. De acordo com a NBC TA 200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria, ao conduzir uma auditoria de demonstrações contábeis, os objetivos gerais do auditor são obter segurança razoável de que as demonstrações contábeis como um todo estão livres de distorção relevante, independentemente se causadas por fraude ou erro, possibilitando assim que o auditor expresse uma opinião sobre se as demonstrações contábeis foram elaboradas, em todos os aspectos relevantes, de acordo com a estrutura de relatório financeiro aplicável, assim como comunicar aos responsáveis pela governança, tal como requerido pela NBC TA 265 - Comunicação de Deficiências do Controle Interno, as eventuais deficiências significativas no controle interno identificadas durante a auditoria.

8. Também, de acordo com item 17 da NBC TA 200, o auditor obtém segurança razoável mediante a obtenção de evidência de auditoria suficiente e apropriada para reduzir o risco de auditoria a um nível aceitavelmente baixo e, com isso, possibilitar a ele obter conclusões razoáveis e nelas basear a sua opinião.

9. Risco de Auditoria é o risco de o auditor expressar uma opinião de auditoria inadequada quando as demonstrações contábeis contiverem distorções relevantes. O risco de auditória é derivado da combinação entre os riscos de distorção relevante e de detecção. A materialidade e os riscos de auditoria são levados em consideração durante a auditoria, especialmente na:

• (a) identificação e avaliação dos riscos de distorção relevante (NBC TA 315 - Identificação e Avaliação dos Riscos de Distorção Relevante por meio do Entendimento da Entidade e do seu Ambiente);
• (b) determinação da natureza, época e extensão de procedimentos adicionais de auditoria (NBC TA 330 - Resposta do Auditor aos Riscos Avaliados); e
• (c) avaliação do efeito de distorções não corrigidas, se houver, sobre as demonstrações contábeis (NBC TA 450 - Avaliação das Distorções Identificadas durante a Auditoria) e na formação da opinião no relatório do auditor independente (NBC TA 700 - Formação da Opinião e Emissão do Relatório do Auditor Independente sobre as Demonstrações Contábeis).

10. Na execução de procedimentos de avaliação de risco, conforme exigido pelos itens 19 a 26 da NBC TA 315, o auditor deve obter entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e dos componentes do sistema de controles internos. Conforme definido no item 12 (m) da referida norma, sistema de controle interno é o sistema planejado, implementado e mantido pelos responsáveis pela governança, pela administração e por outros empregados para fornecer segurança razoável quanto ao alcance dos objetivos da entidade no que se refere à confiabilidade dos relatórios financeiros, à efetividade e eficiência das operações e à conformidade com leis e regulamentos aplicáveis.

Para fins das normas de auditoria, o sistema de controles internos consiste em cinco componentes inter-relacionados:

• (i) ambiente de controle;
• (ii) processo de avaliação de riscos da entidade;
• (iii) processo da entidade para monitorar o sistema de controles internos;
• (iv) sistema de informação e comunicação; e
• (v) atividades de controle.

11. A natureza e a extensão do entendimento necessário é um assunto do julgamento profissional do auditor e varia de entidade para entidade com base na natureza e nas circunstâncias da entidade, incluindo:

• (i) o porte e a complexidade da entidade, incluindo o seu ambiente de TI;
• (ii) a experiência anterior do auditor com a entidade;
• (iii) a natureza dos sistemas e processos da entidade, incluindo se eles estão formalizados, ou não, e
• (iv) a natureza e a forma da documentação da entidade.

12. Ainda, de acordo com o item 6 da NBC TA 200, “a opinião do auditor considera as demonstrações contábeis como um todo e, portanto, o auditor não é responsável pela detecção de distorções que não sejam relevantes para as demonstrações contábeis como um todo”.

13. O auditor deve considerar o controle interno para planejar os procedimentos de auditoria que são apropriados nas circunstâncias e, não, para expressar uma opinião sobre a eficácia do controle interno. Assim, é importante destacar que a identificação de deficiências no controle interno pode ocorrer não somente durante esse processo de avaliação de risco, mas, também, em qualquer outra etapa da auditoria e que a referida avaliação com base no entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e dos componentes do seu sistema de controles internos, não tem a finalidade de expressar uma opinião sobre a eficácia do sistema de controle interno. Ao obter o entendimento do controle interno relevante para planejar os procedimentos de auditoria que são apropriados nas circunstâncias, o auditor pode identificar deficiências no controle interno. Deve ser observado que a avaliação do auditor é sobre o controle interno desenhado e implementado pela Administração da entidade, não sendo de responsabilidade do auditor o desenho, nem a implementação dos referidos controles internos.

De acordo com a NBC TA 265, o auditor deve determinar se, com base no trabalho de auditoria executado, ele identificou uma ou mais deficiências de controle interno. As deficiências consideradas significativas devem ser comunicadas tempestivamente por escrito à administração e aos órgãos de governança da entidade. Já a comunicação de outras deficiências de controle interno que, de acordo com o julgamento do auditor, são de importância suficiente para merecer a atenção da administração, não são requeridas a serem comunicadas por escrito, podendo esta comunicação ser, portanto, verbal.

Apesar de a NBC TA 265 determinar a comunicação por escrito apenas das deficiências significativas, o relatório circunstanciado requerido pela Resolução CVM 23/2021 é mais abrangente, requerendo a comunicação de todas as deficiências identificadas.

14. Com referência à comunicação das deficiências significativas de controle interno, a NBC TA 265 estabelece que: 11. O auditor deve incluir na comunicação por escrito das deficiências significativas de controle interno:

• (a) descrição das deficiências e explicação de seus possíveis efeitos (ver item A28); e
• (b) informações suficientes para permitir que os responsáveis pela governança e a administração entendam o contexto da comunicação. O auditor deve especificamente explicar que (ver itens A29 e A30):
  • (i) o objetivo da auditoria era o de expressar uma opinião sobre as demonstrações contábeis;
  • (ii) a auditoria incluiu a consideração do controle interno relevante para a elaboração das demonstrações contábeis com a finalidade de planejar procedimentos de auditoria que são apropriados nas circunstâncias, mas não para fins de expressar uma opinião sobre a eficácia do controle interno; e
  • (iii) os assuntos comunicados estão limitados às deficiências que o auditor identificou durante a auditoria e concluiu serem de importância suficiente para comunicar aos responsáveis pela governança.

15. De acordo com o item 14 da NBC TA 250 - Consideração de Leis e Regulamentos na Auditoria de Demonstrações Contábeis, o auditor deve obter evidência de auditoria apropriada e suficiente referente à conformidade com as disposições legais e regulamentares geralmente reconhecidas por terem efeito direto sobre a determinação dos valores e divulgações relevantes nas demonstrações contábeis.

16. Com referência a comunicação de não conformidade identificada ou suspeita de não conformidade, a NBC TA 250 define que:

• 23. A menos que todos os responsáveis pela governança estejam envolvidos na administração da entidade e, portanto, tenham conhecimento de assuntos que envolvam não conformidade identificada ou suspeita de não conformidade já comunicada pelo auditor (NBC TA 260 - Comunicação com os Responsáveis pela Governança, item 13), este deve comunicar, salvo se proibido por lei ou regulamento, aos responsáveis pela governança, assuntos que envolvam não conformidade com leis e regulamentos dos quais o auditor tenha tomado conhecimento durante a auditoria, exceto quando tais assuntos forem claramente inconsequentes.
• 25. Se o auditor suspeitar que a administração ou os responsáveis pela governança estão envolvidos com a não conformidade, o auditor deve comunicar o assunto ao nível de autoridade imediatamente superior da entidade, se existir, como, por exemplo, o comitê de auditoria ou o órgão de supervisão geral. Quando não houver autoridade superior, ou se o auditor acreditar que essa comunicação não será eficaz, ou se estiver em dúvida quanto a quem comunicar, ele deve considerar a necessidade de obter assessoria legal.

ELABORAÇÃO DO RELATÓRIO SOBRE O SISTEMA DE CONTROLES INTERNOS E O DE DESCUMPRIMENTO DE DISPOSITIVOS LEGAIS E REGULAMENTARES - itens 17 - 24

17. A Resolução BCB 130/2021, em seus artigos 32 e 33, estabelece os critérios para elaboração do relatório do sistema de controles internos e do relatório de descumprimento de dispositivos legais e regulamentares, previstos no art. 21:

• Art. 32. O relatório do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos, previsto no art. 21, inciso II, alínea "b", desta Resolução, e no art. 21, inciso II, alínea "b", da Resolução CMN  4.910/2021, de 27 de maio de 2021, deve conter:
  • I - a síntese do processo de avaliação da efetividade dos aspectos relevantes para os sistemas de controles internos previstos na regulamentação vigente que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada; e
  • II - a evidenciação das deficiências identificadas.
• Art. 33. O relatório de descumprimento de dispositivos legais e regulamentares, previsto no art. 21, inciso II, alínea "c", desta Resolução, e no art. 21, inciso II, alínea "c", da Resolução CMN 4.910/2021, pode ser apresentado como parte do relatório mencionado no art. 32.

18. O art. 34 da Resolução BCB 130/2021 ainda menciona que “na elaboração dos relatórios mencionados nos arts. 32 e 33, devem ser observadas, nos aspectos não conflitantes com a regulamentação estabelecida pelo Conselho Monetário Nacional e pelo Banco Central do Brasil, as normas e os procedimentos determinados pela Comissão de Valores Mobiliários, pelo Conselho Federal de Contabilidade e pelo Instituto dos Auditores Independentes do Brasil".

19. Considerando isso, a síntese do processo de avaliação da efetividade dos aspectos relevantes para os sistemas de controles internos previstos na regulamentação vigente, nos termos da Resolução BCB 130/2021, deve ser reportada nos termos das resoluções citadas ao longo desse CT e nas Normas Brasileiras de Auditoria (NBC TA), assim como as correspondentes normas internacionais de auditoria.

20. A síntese do processo de avaliação da efetividade é apresentada no relatório como uma descrição sumária da abordagem adotada pelo auditor em relação à consideração dos controles internos em um contexto de auditoria das demonstrações contábeis, considerando suas responsabilidades no contexto das NBC TA e das Resoluções citadas ao longo deste CT.

21. A avaliação da efetividade dos aspectos relevantes para os sistemas de controles internos trazidos pela Resolução BCB 130/2021 não tem o mesmo significado de consideração da efetividade dos controles, nos termos das NBC TA acima referenciadas. Nesse sentido, o art. 32 da Resolução BCB 130/2021 não requer que seja adotada pelo auditor uma abordagem de auditoria com base na avaliação de efetividade dos controles internos. Tampouco, isso é requerido, de acordo com as normas brasileiras e internacionais de auditoria. O requerimento do art. 32 da Resolução BCB 130/2021 é que o auditor obtenha entendimento da entidade auditada e do seu ambiente, da estrutura de relatório financeiro aplicável e dos componentes do sistema de controles internos, conforme descrito no item 11 desse CT, mas, não, com o objetivo de expressar uma opinião ou conclusão sobre a eficácia dos controles internos das entidades.

22. O art. 32 da Resolução BCB 130/2021 cita ainda que a avaliação dos controles considera os aspectos relevantes para os sistemas de controles internos previstos na regulamentação vigente. Esses aspectos relevantes e consequentemente a regulamentação vigente podem ser entendidos como o conjunto das resoluções citadas nesse CT, regulamentações complementares e NBC TA.

23. A Resolução CMN 4.968/2021 e normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos, regulamentam os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, assim como sobre as obrigatoriedades e objetivos de tais controles, e responsabilidades da Administração. Em seu art. 6°, ainda menciona que “o acompanhamento sistemático das atividades relacionadas com os sistemas de controles internos deve ser objeto de relatório anual” a ser preparado pelas referidas instituições financeiras e deve “ser submetido ao conselho de administração ou, se inexistente, à Diretoria, bem como às auditorias interna e externa da instituição”. Em conexão com a auditoria das demonstrações contábeis, o auditor deve efetuar a leitura do relatório anual preparado pela Instituição e, ao fazê-lo, como parte de nosso entendimento sobre os controles internos da entidade obtidos na auditoria. A referida resolução deve ser observada pelo auditor quando do entendimento e da consideração dos controles internos e deve ser entendida como parte da regulamentação vigente citada no art. 32 da Resolução BCB 130/2021.

24. O relatório está dividido em duas partes:

• Parte A - Síntese do processo de avaliação da efetividade dos aspectos relevantes para os sistemas de controles internos previstos na regulamentação vigente que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada.
• Parte B - Evidenciação das deficiências de controles internos identificadas, incluindo se aplicável, descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada.

CUMPRIMENTO DE DISPOSITIVOS LEGAIS E REGULAMENTARES PELAS INSTITUIÇÕES E COMUNICAÇÕES DOS AUDITORES INDEPENDENTES SOBRE OS DESVIOS IDENTIFICADOS - itens 25 - 27

25. No art. 33, a Resolução BCB 130/2021 esclarece que:

• “Art. 33. O relatório de descumprimento de dispositivos legais e regulamentares, previsto no art. 21, inciso II, alínea "c", desta Resolução, e no art. 21, inciso II, alínea "c", da Resolução CMN 4.910/2021, pode ser apresentado como parte do relatório mencionado no art. 32”.

26. A NBC TA 250 trata da responsabilidade do auditor pela consideração de leis e regulamentos ao executar a auditoria de demonstrações contábeis e fornece as orientações necessárias ao auditor quanto à sua responsabilidade e comunicações requeridas como auditor e, por outro lado, quanto à responsabilidade da administração da entidade auditada. Assim consta da citada NBC TA:

Responsabilidade pela conformidade com leis e regulamentos

• “3. É responsabilidade da administração, sob a supervisão dos responsáveis pela governança, assegurar que as operações da entidade sejam conduzidas em conformidade com as disposições de leis e regulamentos, inclusive a conformidade com as disposições de leis e regulamentos que determinam os valores e divulgações reportadas nas demonstrações contábeis da entidade.

Responsabilidade do auditor

• “4. Os requisitos desta Norma destinam-se a auxiliar o auditor na identificação de distorção relevante das demonstrações contábeis devido à não conformidade com leis e regulamentos. Contudo, o auditor não é responsável pela prevenção de não conformidade e não se pode esperar que ele detecte a não conformidade com todas as leis e regulamentos.
• “5. O auditor é responsável pela obtenção de segurança razoável de que as demonstrações contábeis, tomadas em conjunto, estão livres de distorção relevante, independentemente se causada por fraude ou erro (NBC TA 200, item 5). Ao conduzir a auditoria de demonstrações contábeis, o auditor deve levar em conta a estrutura legal e regulamentar aplicável. Em decorrência das limitações inerentes de uma auditoria, há um risco inevitável de que algumas distorções relevantes nas demonstrações contábeis possam não ser detectadas, apesar de a auditoria ser adequadamente planejada e executada em conformidade com as normas de auditoria (NBC TA 200, itens 53 e A54). [...]”

Responsabilidade da administração sobre as demonstrações contábeis

27. Consoante mencionado na NBC TA 700, “a administração é responsável pela elaboração e adequada apresentação das demonstrações contábeis de acordo com as práticas contábeis adotadas no Brasil e pelos controles internos que ela determinou como necessários para permitir a elaboração de demonstrações contábeis livres de distorção relevante, independentemente se causada por fraude ou erro.”

PRAZO PARA EMISSÃO DOS RELATÓRIOS - item 28

28. Conforme requerido pelo art. 35 da Resolução CMN 4.910/2021 e Resolução BCB 130/2021, o relatório deve ser emitido em até 45 (quarenta e cinco) dias após a data da divulgação ou publicação das demonstrações individuais e consolidadas, semestrais e anuais, objeto da auditoria independente, ressalvadas as situações previstas em regulamentação específica emanada do CMN ou do BCB.

ENTENDIMENTO E ORIENTAÇÃO - itens 29 - 35

29. O planejamento, implantação, implementação e manutenção do efetivo sistema de controle interno que atenda às necessidades da entidade é de responsabilidade da administração da entidade.

30. No cumprimento dessa responsabilidade, a administração da entidade estabelece objetivos e procedimentos pertinentes, faz estimativas e toma decisões para determinar os custos e os correspondentes benefícios esperados com a implantação dos procedimentos de controle interno.

31. Quando contratados para auditar as demonstrações contábeis das instituições financeiras e demais instituições abrangidas pelos requerimentos da Resolução CMN CMN BCB 4.910 e da Resolução BCB CMN BCB 130, além de considerar os requerimentos previstos nas normas de auditorias emitidas pelo Conselho Federal de Contabilidade, os auditores independentes, durante o planejamento do seu trabalho, devem considerar também as orientações deste Comunicado Técnico com vistas a atender às referidas resoluções ao comunicar aos responsáveis pela governança e à administração as deficiências de controle interno e os descumprimentos com leis e regulamentações que identificou durante a auditoria e que, no seu julgamento profissional, são de importância suficiente para merecer a atenção deles.

32. O requisito contido na Resolução CMN CMN BCB 4.910 e na Resolução BCB CMN BCB 130 para o auditor reportar aos responsáveis pela governança e à administração da entidade auditada as deficiências identificadas sobre os controles internos e descumprimentos de dispositivos legais e regulamentares, que tenham, ou possam vir a ter reflexos relevantes nas demonstrações contábeis da entidade auditada, deve ser atendido pelo auditor independente no cumprimento de suas funções, de acordo com os requerimentos contidos nas normas de auditoria aprovadas pelo Conselho Federal de Contabilidade. Essas normas requerem que o auditor comunique aos responsáveis pela governança e à administração as deficiências de controle interno que identificou durante a sua auditoria das demonstrações contábeis e que, no seu julgamento profissional, são de importância suficiente para merecer a atenção deles.

33. As deficiências de controles internos e eventuais não conformidades em relação a leis e regulamentos que forem identificadas pelos auditores independentes durante a sua auditoria das demonstrações contábeis, realizada de acordo com as normas brasileiras e internacionais de auditoria, devem ser reportadas à administração e aos responsáveis pela governança da entidade nos termos da NBC TA 265 e NBC TA 250.

34. Adicionalmente, a exemplo de outras representações que a administração deve fazer aos auditores independentes no curso da auditoria (NBC TA 580 - Representações Formais), o auditor também deve solicitar representação formal sobre o cumprimento dos requerimentos sobre os sistemas de controles internos previstos na Resolução CMN CMN BCB 4.968 e nas normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos. É apropriado também incluir, na carta de contratação da auditoria (NBC TA 210 - Concordância com os Termos do Trabalho de Auditoria), a concordância da administração em fornecer tais informações para o cumprimento desses requisitos.

35. Para fins práticos e visando auxiliar os auditores independentes, ficam incluídos os seguintes Anexos:

• ANEXO I - Lista ilustrativa de procedimentos: esse anexo tem a finalidade de auxiliar os auditores independentes no atendimento dos requerimentos da Resolução CMN 4.910/2021 e Resolução BCB 130/2021. A lista de procedimentos não é exaustiva, não se trata de programa de trabalho e pressupõe que a Entidade tenha estruturado e implementado os sistemas de controles internos descritos na Resolução CMN 4.968/2021 e nas normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos. Para os trabalhos de auditoria, devem ser utilizadas as normas brasileiras e internacionais de auditoria. Para entendimento amplo dos aspectos de identificação e de avaliação de riscos, incluindo aspectos envolvendo o entendimento do sistema de controles internos da entidade, as normas de auditoria em vigor devem ser consultadas na sua íntegra, em particular, mas não limitadas à NBC TA 315.
• ANEXO II - Modelo de relatório dos auditores independentes

VIGÊNCIA - item 36

36. Este Comunicado entra em vigor na data de sua publicação.

Brasília, 18 de novembro de 2021.
Contador Zulmir Ivânio Breda - Presidente
Ata CFC 1.081

ANEXO I - Lista ilustrativa contendo as características essenciais e responsabilidades da administração a serem considerados pelo auditor como parte de seu entendimento da estrutura de controles internos da instituição

1. Este anexo tem a finalidade de auxiliar os auditores independentes no atendimento dos requerimentos da Resolução CMN 4.910/2021 e Resolução BCB 130/2021. A lista de verificações não é exaustiva, não se trata de programa de trabalho, não tem o intuito de ser um requerimento adicional ao auditor e pressupõe que

• (i) a Entidade seguiu os requerimentos sobre os sistemas de controles internos previstos na Resolução CMN 4.968/2021, e normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos, e
• (ii) o auditor aplicou seu julgamento profissional para determinar a natureza, época e extensão de seus trabalhos sobre os controles internos relevantes que o permitisse expressar uma opinião sobre as demonstrações contábeis da Entidade, mas, não, com o objetivo de expressar uma opinião sobre a eficácia dos controles internos.

Para os trabalhos de auditoria das demonstrações contábeis, devem ser utilizadas as normas brasileiras e internacionais de auditoria. Para entendimento amplo dos aspectos de identificação e avaliação de riscos, incluindo aspectos envolvendo o entendimento dos componentes do sistema de controles internos da entidade, as normas de auditoria em vigor devem ser consultadas na sua íntegra em particular, mas, não, limitadas à NBC TA 315.

2. As deficiências de controles internos reportadas pelo auditor no relatório a que se refere esse CT devem incluir os assuntos identificados pelo auditor no curso de sua auditoria das demonstrações contábeis.

A - Das características essenciais

I - Continuidade e efetividade

• a) Os sistemas de controles internos definem as atividades de controle para todos os níveis de negócios e para todos os riscos considerados relevantes pela Instituição aos quais está exposta?

II - Atividades rotineiras das áreas relevantes da instituição

• a) Há evidências de que os sistemas de controles internos abordam as atividades rotineiras e relevantes da Instituição?

III - Revisão e atualização periódica

• a) Há evidência de que o processo de monitoramento do sistema de controle interno está documentado, principalmente pela identificação das alterações introduzidas ao longo do tempo?
• b) A Instituição evidencia a existência de Políticas Institucionais, contendo as diretrizes de funcionamento (políticas e práticas de negócio, por exemplo) bem como processos internos que garantam a sua divulgação dentro da organização?
• c) Há evidências de que essas políticas institucionais estão disseminadas na Instituição?
• (*) Políticas institucionais são diretrizes formuladas pela alta administração, formalizadas e aplicáveis a toda instituição e que estabelecem os principais aspectos dos negócios, sua organização, direção e administração.
• d) Há evidência sobre a existência de estrutura organizacional que sirva de suporte ao desenvolvimento da atividade e à implementação de um sistema de controle interno?
• e) Há evidência de que a sua estrutura organizacional é compatível ao tamanho, natureza e complexidade da atividade desenvolvida pela Instituição?

Aspectos relacionados à cultura de controle:

IV - Definição das responsabilidades dos funcionários nos sistemas de controles internos e dos respectivos meios para o seu eficaz cumprimento.

• a) A Instituição possui descrição das competências requeridas para as principais funções?
• b) A Instituição evidencia a observância dessas competências no recrutamento de colaboradores?
• c) A Instituição evidencia o acompanhamento e avaliação periódica da performance dos colaboradores?
• d) Há evidência de que a estrutura organizacional é do conhecimento dos colaboradores?
• e) Há evidência do envolvimento da administração na definição, aprovação e revisão das políticas de recursos humanos, principalmente as relativas ao recrutamento, avaliação, promoção, desenvolvimento profissional, remuneração e medidas disciplinares aplicáveis em caso de não cumprimento das obrigações legais ou dos deveres dos colaboradores?

V - Obrigatoriedade de comunicação tempestiva ao adequado nível gerencial por parte dos funcionários

• a) A Instituição possui controles internos que preveem a obrigatoriedade de comunicação tempestiva ao adequado nível gerencial por parte dos funcionários de:
  • (i) problemas nas operações?
  • (ii) situações de não conformidade com os padrões de conduta definidos pela instituição?
  • (iii) violações das políticas da instituição ou de disposições legais e regulamentares?

VI - Proibições de estabelecimento de metas de desempenho que incentivem a tomada de riscos em desacordo com os níveis determinados pela alta administração

• a) A Instituição possui controles internos que preveem proibições de estabelecimento de metas de desempenho que incentivem a tomada de riscos em desacordo com os níveis determinados pela alta administração?

VII - Formalização do compromisso com a ética e com a integridade, incluindo o cumprimento do código de ética ou de documento equivalente incluindo a divulgação do código de ética ou documento equivalente

• a) A Instituição possui um Código de Ética?
• b) Há evidências de que esse Código está disseminado na Instituição?
• c) Há algum procedimento em que os funcionários prepararam uma declaração periódica sobre o cumprimento das políticas sobre ética e integridade?
• d) Há algum treinamento obrigatório aos funcionários relacionado ao código de ética da entidade?

Aspectos relacionados à identificação e à avaliação de controle:

VIII - Identificação e avaliação contínua dos fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição e, quando aplicável, do grupo econômico que esta integra

• a) Há evidência de que a Instituição desenvolveu, implementou e mantém processo de identificação dos fatores (internos e externos) em relação às principais categorias de risco (crédito, mercado e operacional)?
• b) Esse processo está documentado? Como?
• c) Há evidência de que o processo abrange todos os principais produtos operados pela Instituição e quando aplicável pelo grupo econômico que ela integra?
• d) Há evidência de revisão periódica para se assegurar que o processo continua cobrindo os principais riscos e que eventuais novos riscos possam ser tempestivamente identificados?

IX - Revisão e atualização periódica dos sistemas de controles internos, com a inclusão de medidas relacionadas a riscos novos ou não abordados anteriormente.

• a) A estrutura organizacional, incluindo as competências e responsabilidades, as linhas de reporte e de autoridade e o grau e âmbito de cooperação entre as diversas funções, está documentada?
• b) Há evidência de que essa documentação é analisada e revista periodicamente para garantir que esteja atualizada e adequada?
• c) A estrutura organizacional inclui uma área específica que tem por objetivo gerenciar os riscos da Instituição?
• d) Essa estrutura inclui a função de Auditoria Interna
•  e) Há evidência de que a Instituição efetuou as atualizações das premissas, metodologias e modelos de gestão de risco em decorrência de mudanças nas operações ou nos riscos enfrentados pela Instituição?
• f) Essas atualizações são formalmente aprovadas e documentadas?

X - Medidas para mitigação dos riscos não tolerados e não controlados

• a) Há evidências de que a Instituição implementou políticas e procedimentos que assegurem, de forma tempestiva, a prevenção de situações não toleradas ou não controladas?
• b) Não obstante os procedimentos de prevenção podem ocorrer situações não toleradas ou não controladas. Dessa forma, há evidências de que foram implementados controles para detectar essas situações, de modo a permitir a adoção de medidas corretivas?
• c) Há evidência de que foram definidos requisitos para aprovar ou renovar as operações, considerando o risco existente, com a identificação das condições que devem ser previamente verificadas e a atribuição de competências para a aprovação e renovação?
• d) Foram estabelecidos limites objetivos para cada um dos riscos incorridos nas atividades desenvolvidas?
• e) Há evidência de que os relatórios utilizados para gerenciamento de riscos têm suas bases reconciliadas com dados contábeis, quando aplicável?
• f) Há evidência de que a Instituição desenvolveu e implementou processo de avaliação da probabilidade de ocorrência de perdas e da respectiva magnitude em relação a cada categoria de risco?
• g) Esse processo de avaliação está suportado por análises qualitativas e quantitativas, de acordo com a natureza, magnitude do risco e complexidade da atividade desenvolvida pela instituição?
• h) Há evidências de que o processo está baseado em hipóteses, parâmetros e fontes de informação considerados adequados e confiáveis?
• i) Há evidências de que os testes de estresse são efetuados e documentados regularmente (Dependendo da situação específica, eles podem envolver testes de cenários adversos que englobem a evolução conjunta de diferentes fatores de risco ou análises de sensibilidade simplificadas)?

XI - Análise de potencial ocorrência de fraudes nas atividades desenvolvidas em todos os níveis de negócios

• a) Há evidência de obrigações de se relatar sempre que ocorram desvios, erros, fraudes, descumprimentos e outras situações de exceção relativamente às políticas, aos procedimentos e aos limites estabelecidos?
• b) Existe evidência de que esses relatórios sobre descumprimentos são aprovados pelos níveis superiores?
• c) Há uma periodicidade mínima para essa análise objetivando a detecção tempestiva de desvios e a tomada de decisões pela administração em tempo oportuno?

Aspectos relacionados às atividades de controle e segregação de funções:

XII - Políticas e procedimentos de controle, bem como a verificação do seu cumprimento

• a) Há evidências de políticas e procedimentos de controle, bem como a verificação do seu cumprimento?

XIII - Revisão e acompanhamento de atividades relevantes pelos adequados níveis gerenciais

• a) Os sistemas de controles internos preveem revisão e acompanhamento de atividades relevantes pelos adequados níveis gerenciais?

XIV - Controles de atividades apropriados para os diferentes departamentos ou áreas de negócios a) Há evidências de controles de atividades planejados para os diferentes departamentos ou áreas de negócios?

XV - Controles físicos de ativos de valor, como acesso restrito, dupla custódia e inventários periódicos

• a) Há evidência de imposição de restrições de segurança no acesso a ativos de valor, como acesso restrito, dupla custódia e inventários periódicos, por meio de barreiras físicas ou de sistemas, que garantam a proteção contra utilizações não autorizadas?

XVI - Verificação do cumprimento dos limites de exposição e acompanhamento das situações de não conformidades

• a) A instituição possui uma política com os limites de exposição que está disposta a assumir?
• b) Há evidências de que a Instituição verifica o cumprimento dos limites de exposição e acompanhamento das situações de não conformidades?

 XVII - Sistema de aprovações e autorizações de transações sensíveis e de verificação e reconciliação

• a) Há evidência de que a Instituição mapeou as transações sensíveis e estabeleceu política formal de autorizações?
• b) Essa política estabelece limites de alçada e responsabilidade para autorização?
• c) Há evidências de verificação e reconciliação das aprovações e autorizações de transações sensíveis?

XVIII - Segregação apropriada das funções atribuídas aos integrantes da instituição, de forma a evitar situações de conflito de interesses

• a) Há evidência de que a Instituição mapeou as principais atividades e funções e estabeleceu procedimentos para preservar a segregação de funções?
• b) Há controles de identificação e monitoramento independentes de áreas que possuam potencial conflito de interesses, com revisão periódica das responsabilidades e das funções que possam gerar conflitos dessa natureza?

XIX - Identificação e monitoramento independentes de áreas que possuam potencial conflito de interesses, com revisão periódica das responsabilidades e das funções que possam gerar conflitos dessa natureza

• a) Há evidência de que foi considerada a segregação de funções que envolvam responsabilidades conflitantes, principalmente nas operações de crédito e de tesouraria, entre a autorização, a execução, o registro, a guarda de valores e o respectivo controle?
• b) Há evidência de revisão periódica das responsabilidades e das funções que possa gerar conflitos de interesses?

XX - Controles que visem a evitar o envolvimento da instituição em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos

• a) Há evidências de controles com o objetivo de evitar o envolvimento da instituição em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos?

XXI - Procedimentos e controles previstos na legislação e regulamentação vigentes, visando à prevenção da utilização do sistema financeiro para a prática dos crimes de "lavagem" ou ocultação de bens, direitos e valores e de financiamento do terrorismo

• a) Há evidência de que foram implementados controles que visem evitar o envolvimento da instituição em atividades indevidas ou ilícitas, em especial os procedimentos e controles para reconhecer, deter e informar atividades de lavagem de dinheiro e de financiamento ao terrorismo?

XXII - Controles para prevenção, detecção, investigação e correção de fraudes

• a) Há evidências de controles para prevenção, detecção, investigação e correção de fraudes?

Aspectos relacionados à informação e à comunicação:

XXIII - Canais de comunicação efetivos que assegurem aos funcionários, segundo o correspondente nível de atuação, o acesso a informações compreensíveis, confiáveis, tempestivas e relevantes para realização de suas tarefas e cumprimento de suas responsabilidades

• a) Há evidência de que a Instituição implementou processos de comunicação formais e linhas de reporte que garantam comunicação das políticas de controles internos e de informações compreensíveis e confiáveis que sejam relevantes para a realização de suas tarefas e cumprimento de suas responsabilidades de forma tempestiva em todos os níveis da organização?

XXIV - Fluxos de informações adequados para que os objetivos, estratégias, expectativas, políticas e procedimentos estabelecidos pelos superiores cheguem aos funcionários, e as informações relevantes sejam compartilhadas entre os componentes organizacionais

• a) A Instituição possui uma política de treinamento formal que abranja os riscos enfrentados pela Instituição e os controles internos implementados para enfrentar esses riscos?
• b) Há evidências da participação do corpo funcional nesses treinamentos?
• c) Há evidência de que a comunicação e linhas de reporte promovem a divulgação da informação de forma a clarificar quais são os deveres e responsabilidades de cada colaborador nos processos de controles internos?
• d) A Instituição possui políticas e comunicações voltadas para assegurar que todo pessoal compreenda os objetivos da entidade, saiba como as suas ações individuais se inter-relacionam, contribuem para esses objetivos e reconheçam como e pelo que serão considerados responsáveis?

XXV - Metodologias para o registro e a manutenção de informações internas à instituição, como dados financeiros, operacionais e de conformidade

• a) Há evidência de que a instituição desenvolveu e implementou processos formais de obtenção e tratamento das informações, que consideram o tamanho, natureza e complexidade da atividade desenvolvida, que suportem a tomada de decisões pelos órgãos de administração e de gestão e permitam o cumprimento das obrigações perante terceiros?
• b) Esse processo está suportado por um sistema contábil que objetive registrar, classificar, associar e arquivar as operações realizadas pela Instituição?
• c) Há evidência de que a Instituição mapeou os principais relatórios contábeis e administrativos a serem elaborados e estabeleceu procedimentos para cumprimento dos objetivos, prazos e nível de informação?
• d) Há evidência de que a Instituição mapeou as conciliações contábeis a serem elaboradas e os ativos a serem inspecionados?
• e) Esse mapeamento inclui a periodicidade dessas conciliações e revisões por níveis apropriados da administração?

XXVI - Diretrizes para a utilização de fontes externas de informações e para a divulgação ao público externo sobre eventos e condições de mercado relevantes para a tomada de decisão

• a) Há uma política formal quanto à utilização de fontes externas de informações?
• b) Há uma política formal quanto à divulgação ao público externo de eventos e condições de mercado relevantes para a tomada de decisão?

XXVII - Sistemas de informação confiáveis e as respectivas medidas de segurança e monitoramento independente para sua manutenção

• Há evidência da existência de políticas relacionadas a medidas de segurança e monitoramento independente do sistema de informação?

XXVIII - Requisitos relacionados ao adequado processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada

• a) Há uma política formal quanto ao processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada?
• b) Os testes periódicos em relação aos sistemas de segurança informatizados incluem a avaliação dos requisitos relacionados ao processamento de informações em formato eletrônico e previsão de trilha de auditoria adequada?

XXIX - Testes periódicos de segurança para os sistemas de informações e de tecnologia

• a) Há uma política formal quanto à realização de testes periódicos de segurança para os sistemas de informações, incluindo aqueles informatizados?
• b) Há evidências de que a Instituição efetua testes periódicos de segurança dos sistemas de informações, em especial aqueles informatizados?
• c) Os testes de segurança em relação aos sistemas de informações incluem o ambiente de suporte de TI aos sistemas aplicativos?
• Há procedimentos estabelecidos para segurança física, contemplando controle de acesso a ativos e registros contábeis e financeiros, e autorização de acesso a programas de computador e arquivos de dados?

XXX - Planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da instituição em decorrência de eventos fora do seu controle, com previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por terceiros

• a) Há evidência de que foi definido e implementado pela Instituição um plano formal de contingência e continuidade para a área de Tecnologia da Informação?
• b) Esse Plano foi formalmente aprovado por níveis superiores?

Aspectos relacionados às atividades de Monitoramento

XXXI - Monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição

• a) A função de auditoria interna na Instituição está subordinada hierarquicamente de forma a garantir a sua independência em relação às áreas auditadas?
• b) A função da auditoria interna da Instituição possui como responsabilidade:
  • i) Elaborar e manter atualizado um plano de auditoria para examinar e avaliar a adequação e a eficácia dos diversos componentes do sistema de controle interno da instituição, bem como do sistema de controle interno como um todo?
  • ii) Emitir recomendações baseadas nos resultados das avaliações realizadas e verificar a sua observância?
  • iii) Elaborar e apresentar aos órgãos de governança e/ou administração relatório periódico sobre questões de auditoria, incluindo as principais deficiências detectadas?

XXXII - Avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição

• a) As deficiências identificadas pela auditoria interna, assim como as consequentes recomendações, foram oportunamente registradas, documentadas e reportadas diretamente à administração (e responsáveis pela governança, quando sejam relevantes), de modo a garantir que as questões identificadas são prontamente consideradas?
• b) Está previsto acompanhamento contínuo por parte da função de auditoria interna das situações identificadas?

XXXIII - Acompanhamento sistemático das atividades desenvolvidas, para avaliar, no mínimo, se:

• (i) os objetivos da instituição estão sendo alcançados;
• (ii) os limites estabelecidos e as leis e regulamentos aplicáveis estão sendo cumpridos; e
• (iii) eventuais desvios identificados estão sendo prontamente corrigidos.
  • a) Há evidências de que as recomendações a respeito de eventuais deficiências identificadas pela auditoria interna ou pela função responsável pelo acompanhamento sistemático das atividades relacionadas com o sistema de controle interno são analisadas, com o estabelecimento de cronograma de saneamento delas, quando for o caso?
  • b) O acompanhamento sistemático das atividades relacionadas com os componentes do sistema de controles internos é objeto de relatórios, no mínimo semestral, contendo:
    (i) as conclusões dos exames efetuados;
    (ii) recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento delas, quando for o caso;
    (iii) a manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las?

XXXIV - Atualização de premissas, das metodologias e dos modelos de gestão de riscos

• a) A Instituição avaliou a necessidade de atualização de premissas, metodologias e modelos de gestão de risco, considerando que o processo de avaliação de riscos da entidade inclui a maneira como a administração identifica riscos do negócio relevantes para a elaboração de demonstrações contábeis em conformidade com a estrutura de relatório financeiro aplicável à entidade, estima a sua significância, avalia a probabilidade de sua ocorrência e decide por ações para administrar tais riscos e os resultados dessas ações?
• b) O plano de auditoria implementado pela Instituição visa assegurar um exame abrangente, orientado para o risco, das atividades, sistemas e processos da Instituição, que permita avaliar a adequação e a eficácia do sistema de controle interno?
• c) Foi delineado um programa que defina os objetivos da auditoria interna, identifique as atividades e os procedimentos de controle interno objeto de revisão?

XXXV - Metodologia e canais de relato sobre deficiências nos controles internos aos responsáveis, à diretoria e ao conselho de administração, no caso de falhas materiais.

• a) A Instituição possuiu política com os procedimentos estabelecidos para a comunicação de deficiências nos controles internos?
• b) A auditoria interna atua sem restrição de acesso a todas as atividades da Instituição, incluindo todas as dependências, inclusive no exterior, quando aplicável, bem como a toda a informação necessária à realização de seus trabalhos?

Relatório periódico

XXXVI - Relatório anual

• a) A Instituição emite relatório anual como resultado do acompanhamento sistemático das atividades relacionadas com os sistemas de controles internos?
• b) O relatório é submetido ao conselho de administração ou, se inexistente, à Diretoria, bem como às auditorias interna e externa da instituição?
• c) O relatório permanece à disposição do Banco Central do Brasil pelo prazo de cinco anos?

XXXVII - Avaliação sobre a adequação e a efetividade dos sistemas de controles internos

• a) O relatório inclui considerações quanto à avaliação sobre a adequação e a efetividade dos sistemas de controles internos?

XXXVIII - As recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento, quando for o caso

• a) O relatório inclui considerações sobre as recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento, quando for o caso?

XXXIX - A manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las

• a) O relatório inclui considerações sobre a manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las?

B - Da responsabilidade da Administração

I - Conselho de Administração (ou diretoria, para as instituições que não possuam conselho de administração)

• a) A Instituição detém controles que permitam que o conselho de administração garanta que:
  • (i) a diretoria da instituição tome as medidas necessárias para identificar, medir, monitorar e controlar os riscos de acordo com os níveis de riscos definidos?
  • (ii) as falhas ou deficiências identificadas sejam tempestivamente corrigidas?
  • (iii) a diretoria da instituição monitore a adequação e a eficácia dos sistemas de controles internos? e
  • (iv) os sistemas de controles internos sejam implementados e mantidos de acordo com o disposto na Resolução CMN 4.968/2021, e normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos?
• b) Há evidência de que a alta administração tem envolvimento com referência aos seguintes aspectos do controle interno:
  • a. Aprovar a diretriz da instituição para sua implementação, incluindo as suas revisões e atualizações?
  • b. Definir, aprovar e revisar a estrutura organizacional da instituição para assegurar a sua implementação e manutenção?
  • c. Assegurar que os colaboradores da instituição compreendem o seu papel no sistema implementado?
  • d. Assegurar que áreas de potenciais conflitos de interesses são identificadas e sujeitas a um monitoramento independente?
  • e. Tomar as providências necessárias, caso sejam identificadas deficiências na estrutura organizacional, não cumprimentos da cultura organizacional ou desvios em relação à estratégia aprovada?
• c) A alta administração da Instituição deve ter um conhecimento apropriado dos tipos de riscos a que a Instituição está exposta e dos processos utilizados para identificar, avaliar, acompanhar e controlar esses riscos, bem como das obrigações legais e dos deveres a que a instituição se encontra sujeita, sendo responsável pelo estabelecimento e manutenção de um sistema de gestão de riscos apropriado e eficaz. Considerando essas premissas, existem evidências de que alta administração tem envolvimento com referência aos seguintes aspectos relacionados aos riscos enfrentados pela Instituição?
  • a. Definição e revisão da política com os objetivos da instituição no que se refere ao perfil de risco e ao grau de tolerância face ao risco?
  • b. Aprovação das políticas e procedimentos visando à identificação, avaliação, acompanhamento e controle dos riscos a que a instituição está exposta, e a sua implementação e cumprimento?
  • c. Política de aprovação de novos produtos e atividades da instituição, bem como as respectivas políticas de gestão de risco?
  • d. Verificação do cumprimento dos níveis de tolerância ao risco e das políticas e procedimentos de gestão de risco no sentido de possibilitar a prevenção, ou a detecção e correção das deficiências relevantes?
  • e. Requerimento de que sejam elaborados relatórios periódicos sobre os principais riscos a que a instituição está exposta e que sejam identificados os procedimentos de controle implementados para gerir esses riscos, evidenciando sua aprovação a esses relatórios?
  • f. Assegura-se de que as atividades de gestão de riscos estão sujeitas a revisões periódicas e que têm adequada independência das áreas operacionais e políticas próprias?
  • g. São designados responsáveis pela função de gestão de riscos e auditoria interna?
  • h. Pronuncia-se sobre os relatórios elaborados pelas funções de gestão de riscos e auditorias (interna e externa) que contenham recomendações para a adoção de medidas corretivas?

* Para as instituições que não possuam conselho de administração, as responsabilidades previstas no caput devem ser imputadas à diretoria da instituição.

II - Diretoria

• a) Há evidências de que a diretoria implementa as diretrizes relativas aos sistemas de controles internos aprovadas pelo conselho de administração?
• b) Há evidências de que a diretoria monitora a adequação e eficácia dos sistemas de controle interno?

ANEXO II - Modelo de relatório dos auditores independentes

RELATÓRIO DOS AUDITORES INDEPENDENTES SOBRE O SISTEMA DE CONTROLES INTERNOS E DESCUMPRIMENTO DE DISPOSITIVOS LEGAIS E REGULAMENTARES, ELABORADO EM CONEXÃO COM A AUDITORIA DAS DEMONSTRAÇÕES CONTÁBEIS

Aos Administradores da
Instituição XXX
Cidade - Estado

Prezados Senhores,

1 Examinamos as demonstrações contábeis [individuais e consolidadas] da Instituição XXX (Instituição), referentes ao período [ou exercício findo] em 30 de junho [ou 31 de dezembro] de 200X, de acordo com as normas brasileiras e internacionais de auditoria e emitimos relatório sobre essas demonstrações contábeis em XX de XXXX de 202X1, sem modificação [adaptar conforme o tipo de opinião emitida].

2 Em nossa auditoria, selecionamos e executamos procedimentos de auditoria para obtenção de evidências a respeito dos valores e das divulgações apresentados nas demonstrações contábeis. Entre esses procedimentos, obtivemos entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles interno, para a identificação e avaliação dos riscos de distorção relevantes nas demonstrações contábeis, independentemente se causada por fraude ou por erro. Na avaliação desses riscos, segundo as normas brasileiras e internacionais de auditoria, o auditor considera os controles internos relevantes para a elaboração e adequada apresentação das demonstrações contábeis da Instituição, para planejar os procedimentos de auditoria que são apropriados nas circunstâncias, mas, não, para fins de expressar uma opinião sobre a eficácia desses controles internos da Instituição. Assim, não expressamos uma opinião ou conclusão sobre os controles internos da Instituição.

3 Os controles internos implementados pela Instituição foram considerados no contexto dos nossos trabalhos de auditoria sobre as demonstrações contábeis da Instituição, na extensão que consideramos necessário para emitirmos nossa opinião sobre as referidas demonstrações contábeis, mas, não, para expressar opinião ou conclusão sobre os controles internos da Instituição.

4 A Administração da Instituição é responsável pelos controles internos por ela determinados como necessários para permitir a elaboração de demonstrações contábeis livres de distorção relevante, independentemente se causada por fraude ou erro. No cumprimento dessa responsabilidade, a Administração faz estimativas e toma decisões para determinar os custos e os correspondentes benefícios esperados com a implantação dos procedimentos de controle interno.

5 A Resolução CMN 4.968 e as normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos, que regulamentam os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, no seu art. 6°, menciona que “o acompanhamento sistemático das atividades relacionadas com os sistemas de controles internos deve ser objeto de relatório anual” a ser preparado pelas instituições financeiras e deve ser submetido ao conselho de administração ou, se inexistente, à Diretoria, bem como às auditorias interna e externa da Instituição. Nesse sentido, o último relatório emitido pela Instituição sobre o acompanhamento sistemático das atividades relacionadas com os sistemas de controles internos, e que consideramos no contexto dos nossos trabalhos, foi em XX de XXXX de 202X.

6 Considerando as limitações inerentes ao processo de auditoria de demonstrações contábeis, apesar de nossos trabalhos terem sido executados de acordo com as normas brasileiras e internacionais de auditoria de demonstrações contábeis, que requerem que o auditor obtenha segurança razoável de que as demonstrações contábeis como um todo estejam livres de distorções relevantes, estes não necessariamente abrangeram todos os itens relevantes de controles.

• (Quando houver deficiências significativas de controle interno, conforme definido na NBCTA 265 (e, se aplicável, outras recomendações para melhoria dos controles internos - deficiências não significativas, que em nosso julgamento profissional são de importância suficiente para merecer a atenção dos responsáveis pela governança e à administração da Instituição), que o auditor identificou durante a auditoria ou descumprimento relevante de dispositivos legais e regulamentares a serem reportados, considerar o seguinte):

7 Como resultado dos nossos procedimentos, foram identificadas deficiências significativas, conforme definido na NBC TA 265 (e, se aplicável, outras recomendações para melhoria dos controles internos - deficiências não significativas), de controle interno [e/ou descumprimento relevante de dispositivos legais e regulamentares] descritas na Parte B desse relatório.

• (Quando não houver deficiências significativas ou outras recomendações para melhorias dos controles internos - deficiências não significativas, identificadas durante a auditoria e que, no seu julgamento profissional, são de importância suficiente para merecer a atenção dos responsáveis pela governança e à administração da Instituição ou descumprimento relevante de dispositivos legais e regulamentares a serem reportadas, considerar o seguinte):

8 Como resultado dos nossos procedimentos não identificamos deficiências significativas de controle ou outras recomendações para melhorias dos controles internos - deficiências não significativas, que, em nosso julgamento profissional, merecem a atenção dos responsáveis pela governança e da administração da Instituição, como também não identificamos descumprimento relevante de dispositivos legais e regulamentares a serem reportados.

9 Os nossos comentários referem-se aos controles internos em vigor quando da execução de nossos trabalhos de auditoria referentes ao semestre [ou exercício findo] em 30 de junho [ou 31 de dezembro] de 200X, que foram concluídos em XX de XXXX de 202X(¹); não efetuamos nenhum procedimento de auditoria posteriormente à referida data. Não foram consideradas eventuais modificações porventura ocorridas após essa data.

• (Observação: ao ser incluído no relatório do auditor comentários da Administração em resposta às observações sobre as deficiências de controle interno reportadas, o auditor deve incluir no seu relatório o seguinte):

10 As deficiências de controles internos reportadas neste relatório estão acompanhadas dos comentários da administração como resposta às nossas deficiências reportadas, e tais comentários não foram sujeitos a procedimentos adicionais de auditoria e, consequentemente, não expressamos opinião ou qualquer outra forma de asseguração sobre tais comentários.

11 O relatório está dividido em duas partes:

• Parte A - Síntese do processo de avaliação da efetividade dos aspectos relevantes para os sistemas de controles internos previstos na regulamentação vigente que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada.
•  
• Parte B - Evidenciação das deficiências identificadas, incluindo se aplicável, descumprimento de dispositivos legais e regulamentares que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada.

12 O presente relatório destina-se, exclusivamente, para informação e uso da administração da Instituição e de outras pessoas autorizadas por esta e não foi preparado para ser utilizado por terceiros fora da Instituição, podendo ser disponibilizado ao Banco Central do Brasil no atendimento aos requisitos da Resolução CMN 4.910/2021 do Conselho Monetário Nacional e Resolução BCB 130/2021 do Banco Central do Brasil. Sua divulgação externa pode suscitar dúvidas e originar interpretações errôneas por pessoas que desconhecem os objetivos e as limitações dos exames, desenvolvidos de acordo com as normas brasileiras e internacionais de auditoria.

Cidade, XX de XXXX de 20XX.

Nome da Firma
Auditores Independentes
CRC CMN BCB 2 /O
Nome do auditor - Responsável técnico
Contador - CRC CMN BCB 1 /O-

 __________________________________

(1) Deve ser a mesma data do relatório sobre as demonstrações contábeis.

(2) De acordo com a NBC TA 265, Deficiência Significativa de Controle Interno é a deficiência ou a combinação de deficiências de controle interno que, no julgamento profissional do auditor, é de importância suficiente par merecer a atenção dos responsáveis pela governança.

PARTE A - SÍNTESE DO PROCESSO DE AVALIAÇÃO DA EFETIVIDADE DOS ASPECTOS RELEVANTES PARA OS SISTEMAS DE CONTROLES INTERNOS PREVISTOS NA REGULAMENTAÇÃO VIGENTE QUE TENHAM, OU POSSAM VIR A TER, REFLEXOS RELEVANTES NAS DEMONSTRAÇÕES CONTÁBEIS OU NAS OPERAÇÕES DA INSTITUIÇÃO AUDITADA

Na execução de procedimentos de avaliação de risco, conforme exigido pelos itens 19 a 26 da NBC TA 315, o auditor deve obter entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e dos componentes do sistema de controles internos. Isso auxilia o auditor a entender os eventos e as condições que são relevantes para a entidade, e a identificar o modo como os fatores de risco inerente afetam a susceptibilidade das afirmações à distorção na preparação das demonstrações contábeis, de acordo com a estrutura de relatório financeiro aplicável e o grau em que isso ocorre. Essas informações estabelecem uma estrutura de referência na qual o auditor identifica e avalia os riscos de distorção relevante. Essa estrutura de referência também auxilia o auditor a planejar a auditoria e a exercer o julgamento e o ceticismo profissional durante toda a auditoria.

A natureza e a extensão do entendimento necessário é um assunto do julgamento profissional do auditor e varia de entidade para entidade com base na natureza e nas circunstâncias da entidade, incluindo:

• (i) o porte e a complexidade da entidade, incluindo o seu ambiente de TI;
• (ii) a experiência anterior do auditor com a entidade;
• (iii) a natureza dos sistemas e processos da entidade, incluindo se eles estão formalizados ou não; e
• (iv) a natureza e a forma da documentação da entidade.

A Resolução CMN 4.968/2021 e normas complementares do BCB aplicáveis às administradoras de consórcios e instituições de pagamentos regulamentam os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, assim como sobre as obrigatoriedades e objetivos de tais controles, e responsabilidades da Administração, que devem implementar e manter sistemas de controles internos compatíveis com a sua natureza, o seu porte, a sua complexidade, a sua estrutura, o seu perfil de risco e o seu modelo de negócio.

A obtenção do entendimento a respeito da entidade e do seu ambiente e o entendimento dos componentes do sistema de controles internos da entidade, incluindo

• (i) o ambiente de controle;
• (ii) o processo de avaliação de riscos da entidade;
• (iii) o processo da entidade para monitorar o sistema de controles internos;
• (iv) o sistema de informação e comunicação; e
• (v) as atividades de controles, são um requerimento ao auditor previsto na NBC TA 315, contudo não implica, necessariamente, a avaliação da efetividade operacional de controles.

Conforme requerido pela NBCTA 265 - Comunicação de Deficiências de Controle Interno, o objetivo do auditor é comunicar, apropriadamente, aos responsáveis pela governança e à administração as deficiências de controle interno que o auditor identificou durante a auditoria e que, no seu julgamento profissional, são de importância suficiente para merecer a atenção deles. Segue a síntese do processo de avaliação da efetividade dos aspectos relevantes para os sistemas de controles internos:

(incluir a síntese)

PARTE B - EVIDENCIAÇÃO DAS DEFICIÊNCIAS IDENTIFICADAS E DESCUMPRIMENTO DE DISPOSITIVOS LEGAIS E REGULAMENTARES QUE TENHAM, OU POSSAM VIR A TER, REFLEXOS RELEVANTES NAS DEMONSTRAÇÕES CONTÁBEIS OU NAS OPERAÇÕES DA INSTITUIÇÃO AUDITADA

(Relatar as deficiências significativas e não significativas de controles internos e eventuais descumprimentos relevantes de dispositivos legais e regulamentares observadas no curso da auditoria sobre as demonstrações contábeis, segregadas em seções distintas)

Seção I - Deficiências significativas, conforme definido na NBC TA 265

Situação observada
[Descrever]

Comentários da Administração
[Descrever, quando aplicável]

Seção II - Outras recomendações para melhoria dos controles internos - deficiências não significativas, que, em nosso julgamento profissional, são de importância suficiente para merecer a atenção dos responsáveis pela governança e à administração da Instituição

Situação observada
[Descrever]

Comentários da Administração
[Descrever, quando aplicável]

Seção III - Descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter, reflexos relevantes nas demonstrações contábeis ou nas operações da instituição auditada

Situação observada
[Descrever]

Comentários da Administração
[Descrever, quando aplicável]