Altera regras sobre sistemas de controles internos das instituições financeiras, incluindo testes de segurança e verificação da qualidade das informações.
A Resolução CMN nº 5.178/2024 reforça a qualidade das informações prestadas no âmbito dos controles internos.
📌 Inclui medidas para garantir documentos, dados e informações corretos e tempestivos.
🧪 Exige processo de verificação com testes específicos de qualidade.
⚠️ Impacta controles internos, compliance, dados, tecnologia, controladoria e evidências de reporte.
A Resolução CMN nº 5.178, de 26 de setembro de 2024, é uma norma alteradora. Seu objeto é pontual, mas operacionalmente relevante: ela modifica a Resolução CMN nº 4.968/2021, que disciplina os sistemas de controles internos das instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O pacote foi construído como retrato-fonte da Resolução CMN nº 5.178/2024. Por isso, não replica a totalidade da Resolução CMN nº 4.968/2021 e não consolida alterações posteriores eventualmente existentes.
A alteração central está no Art. 1º, que insere no Art. 5º, inciso IV, da Resolução CMN nº 4.968/2021 um novo comando relacionado aos aspectos de informação e comunicação dos sistemas de controles internos. A partir da vigência indicada no Art. 2º, os sistemas de controles internos devem prever medidas para garantir que documentos, dados e informações sejam fornecidos de forma correta e conforme os prazos e condições estabelecidos em normas legais ou regulamentares. A norma também exige que essa frente inclua a implementação de processo de verificação da qualidade das informações prestadas.
Além disso, o parágrafo único inserido no Art. 5º determina que o processo de verificação da qualidade da informação deve abranger testes específicos de qualidade. Essa exigência dá materialidade operacional ao processo: não basta declarar que há validação de informações; a instituição precisa conseguir demonstrar que realiza testes próprios, com critérios, execução e evidência.
A Resolução CMN nº 5.178/2024 não cria um regime autônomo de aplicabilidade. Ela altera a Resolução CMN nº 4.968/2021, cujo escopo alcança instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, observadas as exclusões do próprio texto-base alterado. Assim, a segmentação do pacote foi construída a partir das categorias reguladas disponíveis no dicionário, priorizando instituições financeiras e outras entidades financeiras autorizadas pelo Banco Central representadas por tags específicas.
Como o dicionário de segmentação não possui uma única tag para todas as “demais instituições autorizadas a funcionar pelo Banco Central do Brasil”, a expressão usa uma lista positiva das categorias mais próximas disponíveis. Esse ponto deve ser revisado no workspace quando o cliente possuir enquadramento regulatório específico não representado de forma granular. O pacote evita incluir administradoras de consórcio e instituições de pagamento na expressão, pois o texto-base da Resolução CMN nº 4.968/2021 as exclui de seu âmbito de aplicação original, remetendo-as à regulamentação própria do Banco Central.
O primeiro comando operacional novo é a exigência de medidas para garantir o fornecimento correto de documentos, dados e informações. O texto não se limita a informações enviadas ao Banco Central em um formulário específico; ele fala em documentos, dados e informações fornecidos segundo prazos e condições estabelecidos em normas legais ou regulamentares. Isso sugere um requisito de governança informacional transversal aos processos regulatórios da instituição: mapear obrigações informacionais, definir responsáveis, validar conteúdo, controlar prazos, registrar aprovações e preservar evidência de fornecimento.
O segundo comando é a implementação de processo de verificação da qualidade das informações prestadas. Esse processo deve funcionar como componente dos sistemas de controles internos. Em termos de produto e compliance, ele pode ser representado por procedimento, matriz de responsabilidades, critérios de qualidade, trilhas de aprovação, checagens de completude, controles de consistência, conciliações com bases de origem e fluxos de tratamento de exceções.
O terceiro comando, tratado como requisito específico, é a realização de testes específicos de qualidade. A norma não define periodicidade, amostra, metodologia, canal, leiaute ou ferramenta. Por isso, o pacote não cria calendário normativo nem RRULE. A recorrência deve ser definida internamente conforme risco, criticidade, volume, tipo de informação e processos afetados. O ponto controlável é a existência de testes específicos, com escopo, critérios, execução, resultados, exceções e tratamento documentados.
A alteração desloca a qualidade da informação prestada para dentro do sistema de controles internos. Na prática, isso tende a exigir integração entre áreas que produzem dados, áreas que consolidam reportes, segunda linha de controles, compliance regulatório, tecnologia e controladoria. O risco a mitigar não é apenas atraso de entrega; também inclui erro de conteúdo, inconsistência entre bases, divergência entre relatório e fonte de origem, ausência de evidência de revisão, falha de aprovação e incapacidade de demonstrar como determinada informação foi validada antes do fornecimento.
Instituições que já possuem inventário de obrigações regulatórias, governança de dados, trilhas de aprovação e controles de reporte tendem a adaptar esses mecanismos para incorporar critérios específicos de qualidade da informação. Instituições com processos mais manuais podem precisar formalizar etapas que antes eram implícitas, como conferência por responsável técnico, revisão por segunda linha, conciliação de bases, bloqueio de envio sem aprovação e registro de retificações.
A curadoria separou dois requisitos porque há diferença operacional relevante. O primeiro exige que os controles internos prevejam medidas e processo para assegurar correção, prazo e condição de fornecimento. O segundo exige testes específicos dentro desse processo. Embora os dois estejam conectados, eles geram evidências distintas: matriz e processo de qualidade, de um lado; plano, papéis de trabalho, resultados e tratamento dos testes, de outro.
Para o requisito de medidas e processo de qualidade, as evidências mais úteis são: matriz de documentos, dados e informações sujeitos a fornecimento; calendário ou painel de prazos; checklists de validação; registros de aprovação; protocolos de envio; histórico de exceções; e documentação de critérios de qualidade. O controle preventivo principal é validar a informação antes do fornecimento. O controle detectivo principal é monitorar prazos, protocolos e exceções. Quando a informação depender de sistemas, bases ou integrações, tecnologia e dados devem participar da rastreabilidade e da confiabilidade das fontes.
Para o requisito de testes específicos, as evidências centrais são: plano ou roteiro de testes; definição de escopo e critérios; amostras ou bases testadas; papéis de trabalho; logs; relatórios de resultado; registro de falhas; plano de ação; e evidência de revalidação. A norma não prescreve metodologia única. Assim, testes de completude, consistência, integridade, conciliação, aderência a leiaute, trilha de auditoria e validação de regras de negócio podem ser apropriados conforme o tipo de informação.
As áreas de riscos e controles tendem a ser donas naturais do desenho de controle e da evidência de aderência. Compliance deve acompanhar o vínculo com obrigações legais ou regulamentares, prazos e condições de fornecimento. Tecnologia e dados entram quando a qualidade depende de sistemas, extrações, bases, trilhas, logs ou integrações. Controladoria e áreas operacionais participam quando produzem ou consolidam informações financeiras, operacionais ou gerenciais.
O Art. 1º também republica trecho relativo a testes periódicos de segurança para sistemas de informações e de tecnologia. Esse trecho não foi convertido em requisito novo neste pacote, porque já fazia parte da estrutura do Art. 5º da Resolução CMN nº 4.968/2021 e aparece na norma alteradora como parte do recorte de redação alterada. O retrato-fonte concentra os requisitos nos comandos novos nascidos da Resolução CMN nº 5.178/2024: a qualidade do fornecimento de documentos, dados e informações e os testes específicos de qualidade.
Outro ponto importante é a vigência. A Resolução CMN nº 5.178/2024 entrou em vigor em 1º de janeiro de 2025. Como essa data já está no passado em relação à geração deste pacote, os requisitos foram marcados como ativos e vigentes, com início em 2025-01-01. Não foram criados requisitos de vigência futura nem obrigações transitórias encerradas.
O pacote também evita transformar referências legais do preâmbulo em requisitos. Leis, decreto-lei, medida provisória e lei complementar mencionados como base de competência normativa foram catalogados como textos citados, mas não geram ação empresarial própria dentro deste retrato. A Resolução CMN nº 4.968/2021 foi registrada como texto alterado e usada como referência operacional, pois é o local normativo em que os comandos novos foram inseridos.
A ementa, o preâmbulo e a assinatura foram tratados como identificação, contexto e fundamento do ato. O Art. 1º, caput, foi tratado como alteração normativa. A alínea “i” inserida no Art. 5º, IV, foi convertida em requisito operacional porque exige medidas, processo e evidências de qualidade para informações fornecidas. O trecho do parágrafo único foi convertido em requisito próprio porque exige testes específicos de qualidade, com dinâmica de controle diferente do processo geral. O Art. 2º foi tratado como ponto de vigência e absorvido na vigência operacional sugerida dos requisitos.
A principal limitação do pacote está na segmentação. O texto normativo usa uma categoria regulatória ampla — instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil — e o dicionário disponível possui tags específicas, mas não uma tag única que cubra com precisão todas as categorias residuais de autorização. A segmentação foi, portanto, calibrada com o menor conjunto defensável de tags disponíveis, devendo ser ajustada se o workspace possuir taxonomia mais granular para entidades autorizadas pelo Banco Central.
Temas
