Regulamenta a atividade de auditoria interna nas instituições financeiras autorizadas pelo Banco Central.
A Resolução CMN nº 4.879/2020 estrutura a auditoria interna de instituições autorizadas pelo Banco Central.
📌 Exige auditoria interna independente, efetiva, documentada e compatível com o perfil da instituição.
⚠️ Traz regras fortes sobre escopo, equipe, conflitos, regulamento, planejamento, relatórios e governança.
🧾 O pacote está em modo retrato-fonte original, sem consolidação de alterações posteriores.
A Resolução CMN nº 4.879, de 23 de dezembro de 2020, é uma norma autônoma do Conselho Monetário Nacional que disciplina a atividade de auditoria interna nas instituições autorizadas a funcionar pelo Banco Central do Brasil. O pacote foi elaborado como retrato-fonte da publicação original, com vigência geral a partir de 1º de janeiro de 2021. Isso significa que os requisitos extraídos representam os comandos próprios do documento-fonte, sem consolidação com normas posteriores não fornecidas neste trabalho.
A norma estrutura a auditoria interna como função de governança, controle e avaliação independente. Seu núcleo está em três camadas: a obrigação de implementar e manter auditoria interna compatível com o perfil da instituição; a definição de características essenciais, estrutura, equipe, escopo e documentação; e a atribuição de responsabilidades à administração, especialmente ao conselho de administração ou, na ausência deste, à diretoria.
A extração resultou em requisitos operacionais voltados a estrutura, independência, acesso a informações, alocação da equipe, prevenção de conflitos, remuneração, planejamento baseado em riscos, execução de trabalhos, documentos obrigatórios, relatórios, acompanhamento de recomendações, retenção documental e governança. Também foram registradas as revogações expressas da Resolução nº 4.588/2017 e do art. 46 da Resolução nº 4.656/2018 em alteracoesRequisitos, sem recriar os requisitos das normas revogadas.
O escopo da resolução alcança instituições autorizadas a funcionar pelo Banco Central do Brasil, com exceções expressas. O art. 1º exclui administradoras de consórcio, instituições de pagamento e cooperativas de crédito enquadradas no Segmento 5 (S5) integrantes de sistemas de dois ou três níveis. Essa exclusão foi refletida nos pontos do documento e nas segmentações, mas há limitação operacional importante: o dicionário de segmentação não possui tag granular capaz de representar, com precisão, a condição “cooperativa de crédito S5 integrante de sistema de dois ou três níveis”. Por isso, os requisitos aplicáveis a cooperativas de crédito trazem aviso para validação contextual.
A norma não se aplica indistintamente a qualquer empresa do setor financeiro em sentido amplo. A aplicabilidade depende do enquadramento como instituição autorizada a funcionar pelo Banco Central e da inexistência das exceções expressas. Algumas categorias mencionadas no art. 4º, como sociedades corretoras de câmbio e associações de poupança e empréstimo, também não possuem correspondência granular perfeita no dicionário de tags disponível. Nesses casos, a segmentação usa categorias próximas e o texto de aplicabilidade orienta validação pelo enquadramento regulatório efetivo.
O comando central é a implementação e manutenção da auditoria interna compatível com natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio da instituição. A função deve ter condições de avaliar controles internos, gerenciamento de riscos e governança corporativa de forma independente, autônoma e imparcial.
A regra geral de estrutura exige unidade específica da instituição ou de instituição do mesmo conglomerado prudencial, diretamente subordinada ao conselho de administração. A norma admite alternativas condicionadas: uso de auditor independente habilitado, desde que não seja responsável pela auditoria das demonstrações financeiras nem exerça atividade com potencial conflito, e desde que a instituição não esteja obrigada a constituir comitê de auditoria; e uso de auditoria de entidade de classe, órgão central ou convênio aprovado pelo Banco Central para categorias específicas.
Essas alternativas não reduzem os demais deveres da instituição. Mesmo quando a execução é terceirizada ou centralizada por entidade de classe, continuam relevantes os requisitos de independência, canais de comunicação, acesso a informações, escopo, planejamento, documentação, relatórios, acompanhamento de recomendações e retenção documental.
A auditoria interna deve ser independente das atividades auditadas, contínua e efetiva. Deve contar com recursos suficientes, canais de comunicação definidos e eficazes e pessoal em quantidade suficiente, adequadamente treinado e experiente. Esses elementos foram convertidos em requisito próprio porque são verificáveis por organograma, plano anual, orçamento, matriz de competências, registro de reporte e avaliação de capacidade.
A equipe de auditoria interna deve atuar com independência, autonomia, imparcialidade, zelo, integridade e ética profissional. Também deve possuir competência profissional individual e coletiva para coletar, entender, examinar e avaliar informações e julgar resultados. A prestação de contas ao conselho de administração e ao comitê de auditoria, quando constituído, é parte do desenho de governança da função.
A norma trata explicitamente de conflitos. Membros da equipe não podem se envolver no desenvolvimento e implementação de medidas específicas relativas a controles internos. Também não podem auditar atividades pelas quais tenham tido responsabilidade antes de decorridos, no mínimo, doze meses. Por isso, a extração sugere controles de declaração de independência por trabalho, matriz de conflitos, histórico de alocações e controle de quarentena.
O escopo da auditoria interna deve considerar todas as funções da instituição, inclusive terceirizadas. No caso de instituição líder de conglomerado prudencial, também deve considerar as funções das instituições integrantes do conglomerado. Esse requisito é especialmente relevante para contratos de terceirização, prestação de serviços relevantes, processamento de atividades críticas e estruturas de grupo.
O art. 12 define blocos mínimos de avaliação: efetividade e eficiência dos controles internos, gerenciamento de riscos e governança; confiabilidade, efetividade e integridade dos processos e sistemas de informações gerenciais; observância ao arcabouço legal, à regulamentação infralegal, às recomendações de reguladores e aos códigos internos aplicáveis; salvaguarda de ativos e atividades relacionadas à função financeira; e atividades, sistemas e processos recomendados ou determinados pelo Banco Central.
O art. 13 aprofunda a avaliação sobre gerenciamento de riscos e gerenciamento de capital. A auditoria deve contemplar políticas e estratégias para riscos de crédito, mercado, variação das taxas de juros da carteira bancária, operacional, liquidez, socioambiental e demais riscos relevantes; sistemas, rotinas e procedimentos; modelos, premissas, metodologias e desempenho; capital mantido; planejamento de metas e necessidade de capital; e outros aspectos sujeitos à avaliação por determinação da legislação ou regulamentação aplicável.
Esses artigos justificam requisitos de alta criticidade por seu impacto prudencial, operacional e regulatório. A falha de cobertura nesses blocos pode deixar riscos materiais sem avaliação independente.
A instituição deve elaborar e manter regulamento específico da auditoria interna, aprovado pelo conselho de administração e pelo comitê de auditoria, quando constituído. Para cooperativas de crédito, o regulamento deve ser aprovado também pela assembleia geral. O regulamento deve conter, no mínimo, objetivo e escopo, posição da unidade na estrutura, características essenciais, atributos, vedações, política de remuneração, comunicação de resultados, responsabilidades do chefe da auditoria, observância a padrões reconhecidos e procedimentos de coordenação com a auditoria independente.
O planejamento deve seguir diretrizes do conselho de administração e considerar fatores e riscos relevantes das áreas, atividades, produtos e processos auditados. O plano anual de auditoria interna deve ser baseado na avaliação de riscos de auditoria e conter processos no escopo, classificação por nível de risco, proposta de cronograma e alocação de recursos disponíveis.
A execução deve abranger coleta e análise de informações e realização de testes que fundamentem adequadamente conclusões e recomendações ao conselho. Para cada trabalho específico, a norma exige plano do trabalho, papéis de trabalho e relato de conclusões e recomendações. A extração separa esses itens em requisitos próprios porque eles têm evidências, controles e gatilhos diferentes: plano anual recorrente, documentação por trabalho específico, acompanhamento de providências e relatório anual.
A resolução exige relatório de acompanhamento das providências tomadas para atendimento às recomendações. Esse comando transforma achados e recomendações em processo contínuo de follow-up, com controle de responsáveis, prazos internos, evidências de implementação, validação e reporte de pendências críticas.
Também exige relatório anual de auditoria interna com sumário dos resultados dos trabalhos, principais conclusões, recomendações e providências tomadas pela administração. O plano anual e o relatório anual devem ser aprovados pelo conselho de administração e pelo comitê de auditoria, quando constituído. Como a norma usa expressamente “plano anual” e “relatório anual”, o pacote cria séries de recorrência anuais, sem inventar mês, dia ou prazo fechado.
O conselho de administração tem deveres próprios: assegurar independência e efetividade da auditoria interna, inclusive quando exercida por terceiros; prover meios necessários para sua execução adequada; e informar tempestivamente os responsáveis pela auditoria sobre mudanças materiais na estratégia, nas políticas e nos processos de gestão de riscos. O conselho também é responsável pela observância, pela instituição, das normas e procedimentos aplicáveis à auditoria interna.
Nas instituições sem conselho de administração, atribuições, competências e requisitos previstos na resolução devem ser imputados à diretoria. Além disso, a resolução veda a delegação a outra autoridade das responsabilidades, atribuições e competências do conselho, do comitê de auditoria e da diretoria definidos no texto. Esses dispositivos foram tratados como requisitos de governança e proibição porque afetam matriz de alçadas, regimentos, atas e responsabilidades decisórias.
As principais evidências sugeridas no pacote incluem regulamento vigente da auditoria interna, organograma, atas de aprovação, matriz de aderência do regulamento, matriz de competências da equipe, declaração de independência por trabalho, matriz de conflitos, plano anual, metodologia de planejamento baseado em riscos, inventário do universo auditável, papéis de trabalho, programas de testes, relatórios de acompanhamento, relatório anual e repositório documental com retenção mínima de cinco anos.
Os controles sugeridos procuram transformar os comandos da norma em rotinas auditáveis. Há controles preventivos para contratação de auditor independente, uso de modalidade alternativa, aprovação do regulamento e alocação de auditores sem conflito. Há controles detectivos para cobertura dos blocos mínimos, revisão de papéis de trabalho, aderência do relatório anual e recuperação documental. Há controles de governança para agenda do conselho, prestação de contas da auditoria, matriz de alçadas e responsabilidade da diretoria quando não houver conselho.
A norma também exige que a instituição mantenha à disposição do Banco Central o regulamento vigente da auditoria interna e os documentos do art. 19 pelo prazo mínimo de cinco anos. Esse requisito foi classificado como retenção de registro e envolve tecnologia, compliance e auditoria interna, pois depende de repositório, versionamento, controle de acesso e capacidade de recuperação.
O pacote não transformou todos os dispositivos em requisitos vivos. O art. 1º foi tratado como escopo e exceção, pois delimita aplicabilidade. O art. 14 foi mapeado como autorização ao Banco Central, mas também absorvido em requisito operacional acionado quando houver determinação do supervisor. O art. 26 foi mantido como ponto de documento de natureza interna do regulador, sem requisito empresarial próprio, porque autoriza o Banco Central a baixar normas e adotar medidas, inclusive procedimentos simplificados. O art. 27 foi registrado em alteracoesRequisitos, pois revoga norma anterior e dispositivo específico. O art. 28 foi tratado como vigência geral.
A segmentação merece revisão pelo cliente na importação, especialmente para cooperativas de crédito S5 e para categorias sem tag granular perfeita. O pacote evita usar “todas as empresas” porque a resolução é setorial e depende de autorização do Banco Central. Também evita incluir administradoras de consórcio e instituições de pagamento, que foram expressamente excluídas do escopo do documento-fonte.
Como a entrega segue o modo retrato-fonte, os requisitos não foram inativados por normas posteriores não fornecidas. Se a necessidade for uma versão consolidada vigente, o trabalho deve ser feito como extração consolidada ou com processamento em pasta própria de normas posteriores que tenham alterado, revogado ou substituído dispositivos da Resolução CMN nº 4.879/2020.
