Estabelece regras para sistemas de controles internos em instituições financeiras e autorizadas pelo Banco Central.
A Resolução CMN 4.968 estrutura o sistema de controles internos das instituições financeiras e demais autorizadas pelo Banco Central.
📌 Exige controles proporcionais, contínuos, efetivos e integrados.
⚠️ Traz comandos fortes sobre riscos, fraudes, PLD/FT, tecnologia, contingência e governança.
🧾 Determina relatório anual de controles internos e designação de diretor responsável perante o Banco Central.
A Resolução CMN nº 4.968, de 25 de novembro de 2021, é uma norma autônoma sobre sistemas de controles internos de instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O documento organiza a obrigação de implementar, manter, monitorar, revisar e evidenciar controles internos compatíveis com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio da instituição.
O pacote foi construído como retrato-fonte da redação original publicada no Diário Oficial da União. Isso significa que os requisitos aqui gerados decorrem exclusivamente dos comandos do próprio documento-fonte. Alterações posteriores eventualmente existentes não foram usadas para atualizar, substituir ou inativar requisitos deste pacote. A própria Resolução, entretanto, traz comandos de vigência e revogação, que foram tratados porque nascem do documento analisado.
O eixo central da norma é a criação de um sistema de controles internos efetivo, contínuo e integrado às atividades rotineiras das áreas relevantes. O sistema deve atingir objetivos de desempenho, informação e conformidade, e não pode se limitar a políticas declarativas. A instituição precisa conseguir demonstrar, com evidências, que seus controles foram desenhados, executados, monitorados, avaliados e atualizados.
A norma alcança instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. A redação original exclui expressamente administradoras de consórcio e instituições de pagamento autorizadas a funcionar pelo Banco Central, que devem observar regulamentação própria emanada pelo Banco Central. Essa exclusão foi refletida na segmentação do pacote.
A segmentação usa um recorte financeiro amplo com exclusão expressa das categorias afastadas pela norma. Essa opção foi adotada porque o dicionário de segmentação não possui uma tag única que represente todas as categorias de instituições autorizadas a funcionar pelo Banco Central, sem risco de omitir parte dos sujeitos alcançados. Por isso, o manifest marca a extração como item a revisar quanto à segmentação, embora a identificação da norma e a extração dos comandos estejam seguras.
Também há um ponto de atenção de vigência: o art. 10, que trata da designação de diretor responsável perante o Banco Central, entrou em vigor em 1º de janeiro de 2023. Os demais artigos entraram em vigor em 1º de janeiro de 2022. Como a data atual é posterior a esses marcos, os requisitos foram tratados como ativos no retrato-fonte, com a vigência operacional indicada nos campos próprios.
A extração organizou os comandos em seis blocos operacionais. O primeiro bloco é a obrigação geral de implementar e manter controles internos proporcionais, com objetivos de desempenho, informação e conformidade. Esse bloco absorve os arts. 2º, 3º e 4º porque eles formam a arquitetura básica do sistema.
O segundo bloco trata de cultura de controle. Ele inclui responsabilidades dos funcionários, comunicação tempestiva de problemas e violações, compromisso com ética e integridade, divulgação de código de ética ou documento equivalente e proibição de metas de desempenho que incentivem tomada de risco em desacordo com níveis definidos pela alta administração.
O terceiro bloco trata de identificação, avaliação e mitigação de riscos. Ele cobre meios de identificação contínua de fatores internos e externos, análise do potencial de fraude, revisão de controles para riscos novos ou não abordados e adoção de medidas para riscos não tolerados e não controlados.
O quarto bloco reúne atividades de controle e segregação de funções. Foram extraídos requisitos próprios para políticas e procedimentos, controles físicos de ativos de valor, limites de exposição, transações sensíveis, segregação de funções, conflitos de interesse, prevenção de atividades indevidas ou ilícitas, PLD/FT e fraudes. A granularidade foi mantida porque cada item tem evidências, controles, áreas internas e riscos distintos.
O quinto bloco trata de informação, comunicação e tecnologia. A norma exige canais e fluxos de comunicação interna, registro e manutenção de informações, diretrizes para uso de fontes externas e divulgação ao público externo, sistemas confiáveis e seguros, trilha de auditoria, testes periódicos de segurança e planos de retomada e contingência de negócios.
O sexto bloco trata de monitoramento, relatório e governança da administração. Ele inclui monitoramento contínuo, avaliações periódicas, acompanhamento de objetivos, limites e desvios, atualização de metodologias e modelos de risco, relato de deficiências, relatório anual de controles internos, envolvimento da Diretoria e do Conselho de Administração, responsabilidades do Conselho, responsabilidades da Diretoria e designação de diretor responsável perante o Banco Central.
O requisito de sistema de controles internos proporcional é a base de todos os demais. Ele deve estar conectado à matriz de riscos, à arquitetura de processos, às políticas internas, à revisão periódica e à capacidade de demonstrar que os controles estão integrados às atividades relevantes da instituição.
O relatório anual de controles internos também exige atenção. A norma determina conteúdo mínimo, submissão ao conselho de administração ou Diretoria, submissão às auditorias interna e externa e guarda à disposição do Banco Central pelo prazo de cinco anos. Como a Resolução exige periodicidade anual, o pacote gerou uma recorrência anual, mas não inventou mês ou dia, pois o documento-fonte não fixa essa data.
A designação de diretor responsável perante o Banco Central foi tratada como requisito autônomo porque possui sujeito, evidência e vigência próprios. O pacote também incluiu referências operacionais oficiais ao Unicad, à Resolução BCB nº 209/2022 e à Instrução Normativa BCB nº 330/2022, apenas como apoio de execução cadastral. Essas referências não foram usadas para alterar o conteúdo ou status dos requisitos da Resolução CMN nº 4.968.
Os requisitos ligados a sistemas de informação, trilha de auditoria, testes de segurança e contingência são materialmente relevantes porque a efetividade dos controles internos depende de informações confiáveis, seguras e rastreáveis. A norma não trata tecnologia como tema acessório: os sistemas de informação aparecem como parte expressa do sistema de controles internos.
PLD/FT e fraudes foram separados. A prevenção à lavagem de dinheiro e ao financiamento do terrorismo é mencionada como procedimentos e controles previstos na legislação e regulamentação vigentes, voltados à prevenção do uso do sistema financeiro para esses crimes. Fraudes, por sua vez, exigem controles para prevenção, detecção, investigação e correção. Os dois temas podem se relacionar, mas têm processos e evidências próprias.
O pacote sugere evidências como matriz de controles internos, matriz de riscos, matriz de controles antifraude, matriz de segregação de funções, relatórios de monitoramento de limites, relatórios de reconciliação de transações sensíveis, logs e trilhas de auditoria, relatórios de testes de segurança, planos de retomada e contingência, relatórios de auditoria ou avaliação periódica, planos de ação para correção de falhas e relatório anual de controles internos.
As evidências sugeridas não são entregáveis regulatórios inventados. Elas foram estruturadas para ajudar a empresa a comprovar que executou os processos exigidos. Quando o documento-fonte trouxe uma entrega ou documento específico, como o relatório anual ou o código de ética, isso foi tratado em entregaveis. Quando o documento trouxe apenas uma rotina verificável, foram sugeridos controles e evidências internas.
As áreas internas mais impactadas tendem a ser riscos e controles, compliance, auditoria interna, tecnologia, operações, PLD/FT, Diretoria e Conselho de Administração. A inclusão de áreas não foi feita de forma uniforme em todos os requisitos. Tecnologia aparece quando há sistemas, segurança, trilha, testes ou contingência. Auditoria interna aparece quando a própria norma menciona avaliações periódicas por auditoria interna ou quando ela é destinatária do relatório anual. Diretoria e Conselho aparecem quando há governança formal.
A extração evitou criar requisitos genéricos como “cumprir a Resolução” ou “manter conformidade”. O art. 5º foi o trecho de maior granularidade porque contém comandos distintos de cultura, riscos, atividades de controle, informação, tecnologia e monitoramento. Cada comando com processo e evidência própria foi convertido em requisito separado.
Alguns dispositivos foram absorvidos em requisitos mais amplos para evitar fragmentação artificial. O art. 3º, por exemplo, define objetivos dos controles internos e foi absorvido no requisito estrutural de implementar e manter controles proporcionais. O art. 4º também foi absorvido nesse requisito porque descreve características essenciais do mesmo sistema. O parágrafo único do art. 6º foi consolidado no requisito do relatório anual, já que submissão e retenção são partes do mesmo processo de relatório.
O art. 11, II foi tratado como ponto do documento, mas não virou requisito empresarial, porque autoriza o Banco Central a baixar normas e adotar medidas necessárias. Já o art. 11, I foi convertido em requisito condicional, porque a determinação de controles adicionais pelo Banco Central gera ação empresarial quando houver determinação específica.
O preâmbulo cita bases legais como Lei nº 4.595/1964, Lei nº 4.728/1965, Lei nº 4.864/1965, Decreto-Lei nº 70/1966, Lei nº 6.099/1974, Lei nº 10.194/2001, Medida Provisória nº 2.192-70/2001 e Lei Complementar nº 130/2009. Esses textos foram registrados no catálogo central de referências para contexto normativo.
O art. 12 revoga a Resolução nº 2.554/1998, a Resolução nº 3.056/2002 e a Resolução nº 4.390/2014. Como o pacote é da Resolução CMN nº 4.968, ele não recria os requisitos das normas revogadas. Em vez disso, registra os efeitos em alteracoesRequisitos, indicando a inativação de eventuais requisitos originados nessas normas, se existirem na base da plataforma.
O pacote deve ser entendido como acelerador regulatório automático. A empresa usuária pode promover, adaptar, dividir, consolidar ou descartar requisitos conforme sua estrutura, seu enquadramento e seus processos internos. A revisão humana é especialmente recomendada para a segmentação, porque o escopo legal alcança um conjunto de instituições autorizadas pelo Banco Central que é mais específico do que a tag setorial disponível.
Também é recomendável validar a granularidade em instituições com estruturas muito complexas. Bancos, cooperativas, sociedades de crédito, sociedades de arrendamento, agências de fomento e outras instituições podem ter diferentes modelos operacionais, níveis de complexidade e estruturas de governança. A norma exige proporcionalidade, então o mesmo requisito pode ter desenho de controle distinto conforme o porte e o perfil de risco.
Por fim, é importante separar três camadas: o comando da Resolução, a evidência sugerida e a forma interna escolhida pela instituição. O comando normativo deve permanecer fiel ao documento-fonte. A evidência sugerida orienta a comprovação. A forma interna pode variar conforme políticas, sistemas, comitês, matriz de responsabilidades, auditoria, arquitetura tecnológica e modelo de governança da instituição.
