Dispõe sobre a atividade de auditoria interna nas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
A Resolução CMN nº 4.588/2017 estrutura a atividade de auditoria interna para instituições financeiras e autorizadas pelo Banco Central.
📌 Exige auditoria interna independente, contínua, efetiva e compatível com porte, riscos e modelo de negócio.
⚠️ Traz regras de governança, reporte, conflitos de interesse, escopo mínimo, documentação e retenção por cinco anos.
🧾 O pacote trata a norma como retrato-fonte e mantém o prazo de implementação de 31/12/2017 como item histórico encerrado.
A Resolução CMN nº 4.588, de 29 de junho de 2017, regulamenta a atividade de auditoria interna nas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O documento é uma norma autônoma de governança, controles internos e supervisão da função de auditoria interna. O eixo da resolução é transformar a auditoria interna em uma atividade formal, independente, contínua, efetiva, documentada e conectada à alta administração.
A extração foi feita em modo de retrato-fonte: os requisitos foram extraídos dos comandos que nascem do próprio texto de 2017. A página oficial consultada do Banco Central indica situação atual revogada no catálogo, mas o pacote não incorporou efeitos de normas posteriores nem consolidou a disciplina vigente. A única inativação normativa registrada é a que aparece expressamente no próprio art. 29, que revoga dispositivos da Resolução CMN nº 2.554/1998 a partir de 31 de dezembro de 2017.
A norma possui um prazo transitório relevante: as instituições alcançadas deveriam implementar a atividade de auditoria interna até 31 de dezembro de 2017, e a resolução produziu efeitos a partir dessa data. Por isso, os requisitos estruturais foram marcados com início operacional em 31 de dezembro de 2017, enquanto o requisito de implementação inicial foi tratado como item histórico encerrado.
O escopo alcança instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O texto exclui administradoras de consórcio, instituições de pagamento e cooperativas de crédito enquadradas no Segmento 5, integrantes de sistemas de dois ou três níveis. Essa delimitação é importante para o roteamento do pacote: a norma não foi segmentada para todas as empresas nem para o setor financeiro em sentido amplo. A aplicabilidade depende do enquadramento como instituição financeira ou instituição autorizada pelo Banco Central.
A segmentação foi montada com as tags disponíveis para instituições financeiras, cooperativas de crédito, corretoras e distribuidoras, sociedades de crédito, financiamento e investimento, arrendamento mercantil, crédito imobiliário, companhias hipotecárias e sociedades de crédito ao microempreendedor e à empresa de pequeno porte. Há limitação de dicionário: não existe tag granular para cooperativas S5 integrantes de sistemas de dois ou três níveis, nem para associações de poupança e empréstimo ou sociedades corretoras de câmbio como categorias autônomas. Por isso, o pacote inclui aviso de revisão para ajuste fino no workspace quando a empresa depender dessas condições específicas.
O art. 23 também é relevante para aplicabilidade interna. Quando a instituição não possuir conselho de administração, as atribuições, competências e requisitos previstos na resolução devem ser imputados à diretoria. Essa regra não criou requisito autônomo isolado, mas foi absorvida nos requisitos que dependem de aprovação, reporte ou responsabilidade do conselho.
O comando central está no art. 2º: implementar e manter atividade de auditoria interna compatível com natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio da instituição. Essa obrigação foi convertida em requisito próprio porque sustenta todos os demais controles da norma. A auditoria interna deve ter condições para avaliar de forma independente, autônoma e imparcial a qualidade e a efetividade de controles internos, gerenciamento de riscos e governança corporativa.
A resolução disciplina a estrutura da atividade. A regra-base é a realização por unidade específica da instituição, ou de instituição integrante do mesmo conglomerado financeiro, diretamente subordinada ao conselho de administração. Há hipóteses de execução por auditor independente ou por entidade de classe, órgão central ou entidade conveniada para determinadas instituições, mas com condições de independência, ausência de conflito e aprovação prévia pelo Banco Central quando aplicável.
Outro bloco material trata das características essenciais e da equipe. A auditoria interna deve ser independente das atividades auditadas, contínua e efetiva, com recursos, canais e pessoas suficientes. A equipe deve atuar com independência, autonomia, imparcialidade, zelo, integridade, ética e competência profissional, reportando-se ao conselho e ao comitê de auditoria quando constituído. A instituição deve garantir canal permanente com a alta administração, autoridade para avaliar funções próprias e terceirizadas e livre acesso a informações.
A norma contém vedações objetivas para conflito de interesses: membro da equipe de auditoria interna não pode se envolver no desenvolvimento e implementação de medidas específicas de controles internos, nem auditar atividades pelas quais tenha tido responsabilidade antes de decorridos pelo menos doze meses. A remuneração da equipe também deve ser determinada independentemente do desempenho das áreas de negócios.
Os arts. 11 a 13 são os dispositivos mais relevantes para cobertura dos trabalhos de auditoria. O escopo deve considerar todas as funções da instituição, inclusive terceirizadas; no caso de instituição líder de conglomerado prudencial, também deve considerar as funções das instituições integrantes do conglomerado. Esse ponto exige universo auditável completo, inventário de funções terceirizadas e critérios claros de priorização.
O art. 12 define temas mínimos: controles internos, gerenciamento de riscos, governança corporativa, sistemas de informações gerenciais, observância ao arcabouço legal e infralegal, recomendações dos reguladores, códigos internos, salvaguarda de ativos, função financeira e atividades, sistemas e processos recomendados ou determinados pelo Banco Central. O pacote tratou esse bloco como requisito próprio porque a cobertura mínima deve aparecer no plano anual, nos programas de trabalho e nos relatórios.
O art. 13 especifica a avaliação das estruturas de gerenciamento de riscos e de capital. Devem ser avaliadas políticas e estratégias para riscos de crédito, mercado, IRRBB, operacional, liquidez, socioambiental e demais riscos relevantes; sistemas, rotinas e procedimentos; modelos, premissas, metodologias e desempenho; capital mantido; planejamento de metas e necessidade de capital; e demais aspectos sujeitos à avaliação por determinação legal ou regulatória. Esse requisito recebeu criticidade alta por sua conexão direta com governança prudencial.
O regulamento da atividade de auditoria interna é o documento estruturante da função. Ele deve ser elaborado e mantido pelos responsáveis pela auditoria interna e aprovado pelo conselho de administração e pelo comitê de auditoria, quando constituído. Nas cooperativas de crédito, também deve ser aprovado pela assembleia geral. O conteúdo mínimo do regulamento inclui objetivo, escopo, posição organizacional, características essenciais, atributos, vedações, política de remuneração, formas de reporte, responsabilidades do chefe da auditoria, padrões reconhecidos e coordenação com a auditoria independente.
O planejamento deve seguir diretrizes do conselho de administração e considerar fatores e riscos relevantes das áreas, atividades, produtos e processos objeto de auditoria. Esse requisito foi separado do plano anual porque o art. 17 trata da lógica de planejamento, enquanto o art. 19 trata do documento obrigatório e seus componentes mínimos.
A execução dos trabalhos deve incluir coleta e análise de informações e realização de testes que fundamentem adequadamente conclusões e recomendações ao conselho. O pacote transformou esse ponto em requisito próprio para reforçar a necessidade de papéis de trabalho, programas de testes, critérios de amostragem e revisão de qualidade.
O art. 19 gera vários artefatos operacionais: plano anual de auditoria interna; plano específico de cada trabalho; papéis de trabalho; relato das conclusões e recomendações; relatório de acompanhamento das providências tomadas; e relatório anual de auditoria interna. O plano anual e o relatório anual devem ser aprovados pelo conselho e pelo comitê de auditoria, quando constituído. Por haver entregáveis, evidências e recorrências diferentes, o pacote quebrou esse dispositivo em requisitos separados.
A administração tem papel ativo. O conselho de administração deve assegurar independência e efetividade da auditoria interna, inclusive quando exercida por terceiros; prover meios necessários; e informar tempestivamente os responsáveis pela auditoria interna sobre mudanças materiais na estratégia, nas políticas e nos processos de gestão de riscos. O conselho também é responsável pela observância, pela instituição, das normas e procedimentos aplicáveis à atividade de auditoria interna.
O art. 24 veda delegação a outra autoridade das responsabilidades, atribuições e competências do conselho, do comitê de auditoria e da diretoria definidas na resolução. Esse comando foi tratado como proibição própria porque impacta matrizes de alçada, regimentos internos, aprovações e responsabilização da governança.
O art. 22 exige observância às normas e procedimentos de auditoria estabelecidos pelo CMN, Banco Central e, no que não for conflitante, pelo Conselho Federal de Contabilidade e Instituto dos Auditores Internos do Brasil. Como o texto não lista normas técnicas específicas, o pacote registrou essas entidades como referências operacionais, sem tentar resolver ou atualizar o conteúdo técnico aplicável fora do documento-fonte.
As evidências mais importantes são: regulamento vigente da auditoria interna; organograma e linha de reporte; atas de aprovação de regulamento, plano anual, relatório anual e chefe da auditoria; matriz de competências da equipe; declarações de independência; matriz de impedimentos; universo auditável; plano anual; programas específicos; papéis de trabalho; relatórios de conclusão; relatório de acompanhamento de recomendações; relatório anual; comunicações ao Banco Central; e repositório de retenção documental.
As áreas internas mais envolvidas são auditoria interna, administração ou diretoria, comitê de auditoria quando existente, riscos e controles, jurídico regulatório, tecnologia e dados quando houver acesso a sistemas ou repositórios, recursos humanos nos temas de competência e remuneração, suprimentos e contratos quando houver terceirização, e governança cooperativa quando a instituição for cooperativa de crédito.
O pacote sugere controles preventivos para alçadas, independência, elegibilidade de prestadores e conteúdo mínimo do regulamento; controles detectivos para cobertura de temas mínimos, suficiência de papéis de trabalho e acompanhamento de recomendações; e controles sistêmicos para repositório e retenção de documentos. As frequências sugeridas são de controle interno e não criam periodicidade normativa, exceto quando a própria norma menciona plano anual e relatório anual.
O art. 1º foi tratado como escopo e exceção, não como requisito, porque define quem está dentro ou fora da resolução. O art. 23 foi absorvido nos requisitos que mencionam conselho, pois funciona como regra de imputação à diretoria. O art. 27 foi mantido como ponto de cobertura sem requisito empresarial autônomo: ele autoriza o Banco Central a baixar normas, adotar medidas e estabelecer procedimentos simplificados para instituições S5, mas uma obrigação empresarial concreta dependeria do ato complementar.
O art. 26 foi mantido como requisito histórico encerrado porque possui prazo único de implementação até 31 de dezembro de 2017. Ele não deve ser tratado como obrigação recorrente viva, mas pode ser útil para auditoria retrospectiva e rastreabilidade de implantação.
O art. 29 foi registrado em alteraçõesRequisitos e em textos alterados. A resolução revogou, a partir de 31 de dezembro de 2017, os §§ 2º a 7º do art. 2º da Resolução CMN nº 2.554/1998. Como o pacote é retrato da Resolução CMN nº 4.588/2017, ele não recria todos os requisitos da norma revogada; apenas registra o efeito operacional da revogação.
A principal limitação do pacote está na segmentação. A taxonomia disponível não representa todos os sujeitos regulados com granularidade perfeita, especialmente cooperativas S5 em sistemas de dois ou três níveis, sociedades corretoras de câmbio e associações de poupança e empréstimo. A recomendação prática é revisar a segmentação no workspace quando essas categorias forem relevantes para o cliente.
