Regulamenta a atividade de auditoria interna em administradoras de consórcio e instituições de pagamento.
A Circular estrutura a auditoria interna para administradoras de consórcio e instituições de pagamento autorizadas pelo Banco Central.
📌 Exige função independente, regulamento, plano anual, trabalhos documentados e relatório anual.
⚠️ Traz deveres fortes para conselho, diretoria ou administradores, inclusive sobre recursos, independência e comunicação de mudanças materiais.
🧾 Prevê retenção mínima de cinco anos e alterações específicas na Circular nº 3.078/2002.
A Circular nº 3.856, de 10 de novembro de 2017, do Banco Central do Brasil, disciplina a atividade de auditoria interna nas administradoras de consórcio e nas instituições de pagamento autorizadas a funcionar pelo Banco Central. O documento funciona como norma estruturante de governança, controles internos e gestão de riscos para esses sujeitos regulados, porque exige uma função de auditoria interna com independência, autonomia, imparcialidade, recursos, equipe qualificada, canais de comunicação e capacidade de avaliar controles, riscos, sistemas, governança e conformidade.
A curadoria foi construída como retrato-fonte da versão original da Circular. Por isso, os requisitos ativos refletem o comando normativo original e não consolidam revogações, substituições ou alterações posteriores não fornecidas como documento-fonte do mesmo trabalho. O único item tratado como encerrado é o prazo transitório previsto expressamente no próprio texto: a implementação da atividade de auditoria interna até 30 de junho de 2018. Também foram registradas, como efeitos próprios da Circular, as alterações na Circular nº 3.078/2002: a nova redação do art. 3º, sobre relatório anual de acompanhamento dos controles internos, e a revogação dos §§ 2º e 3º do art. 2º a partir de 30 de junho de 2018.
Do ponto de vista operacional, a norma exige que a auditoria interna deixe de ser apenas uma função documental e se torne mecanismo de avaliação independente, com plano anual, trabalhos específicos, papéis de trabalho, relatórios, acompanhamento de recomendações, relatório anual e retenção documental. A administração, especialmente o conselho de administração ou instância equivalente, tem papel central: aprova o regulamento, o plano anual e o relatório anual, assegura independência e efetividade, provê meios, comunica mudanças materiais e responde pela observância das normas aplicáveis à atividade de auditoria interna.
O escopo direto da Circular alcança administradoras de consórcio e instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. A segmentação do pacote usa as categorias reguladas disponíveis para esses dois públicos. Como não há uma etiqueta específica para “instituição de pagamento autorizada a funcionar pelo Banco Central”, a aplicabilidade foi descrita em texto humano nos requisitos: a simples atuação em pagamentos não substitui a condição de autorização indicada pelo documento-fonte.
A norma também contém comandos condicionais. O parágrafo único do art. 10, por exemplo, exige que a instituição líder de conglomerado prudencial considere as funções das instituições integrantes do conglomerado no escopo da auditoria interna. Essa condição não foi transformada em uma segmentação separada porque o requisito geral de escopo também se aplica às funções próprias e terceirizadas da instituição. O requisito correspondente explica que a ampliação para conglomerado depende da posição da instituição como líder prudencial.
Outro ponto importante é a regra de substituição funcional do art. 21. Quando a instituição não possuir conselho de administração, as atribuições, competências e requisitos previstos para o conselho devem ser imputados à diretoria ou aos administradores. Esse dispositivo não elimina as obrigações de governança; ele desloca a responsabilidade para a instância administrativa existente. O art. 22 reforça essa lógica ao vedar a delegação das responsabilidades, atribuições e competências definidas na Circular.
O primeiro bloco de requisitos trata da existência e estrutura da auditoria interna. A instituição deve implementar e manter atividade compatível com sua natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio. Essa atividade precisa ter condições para avaliação independente, autônoma e imparcial da qualidade e efetividade dos sistemas e processos de controles internos, gerenciamento de riscos e governança corporativa. Na prática, isso exige mandato formal, linha de reporte, recursos, metodologia, escopo e capacidade técnica.
A norma também disciplina a execução da atividade. Como regra, a auditoria interna deve ser realizada por unidade específica da instituição ou de instituição autorizada do mesmo conglomerado, subordinada ao conselho de administração. A execução por auditor independente ou entidade de classe é admitida em situações específicas, mas com restrições relevantes de independência, conflito de interesses, habilitação, convênio e aprovação prévia do Banco Central quando cabível. Essas alternativas foram tratadas no mesmo requisito de estruturação, porque representam variações do mesmo processo de organização da função.
As características essenciais da auditoria interna são um segundo bloco central. A atividade deve ser independente das atividades auditadas, contínua e efetiva, com recursos suficientes, canais de comunicação definidos e eficazes, e pessoal suficiente, treinado e experiente. Esse ponto se conecta diretamente a controles internos de dimensionamento, capacitação, comunicação de achados e acompanhamento de resposta da administração.
A Circular ainda estabelece requisitos para a equipe de auditoria interna. Seus membros devem atuar com independência, autonomia, imparcialidade, zelo, integridade e ética profissional. Devem ter competência para coletar, entender, examinar e avaliar informações e julgar resultados. Também devem prestar contas ao conselho de administração e ao comitê de auditoria, quando constituído. Foram extraídos requisitos específicos sobre qualificação, conduta, reporte, livre acesso, autoridade para avaliar funções próprias e terceirizadas, canal permanente com a alta administração, vedações de conflito e política de remuneração independente do desempenho das áreas de negócios.
A Circular exige que o planejamento da auditoria interna seja realizado de acordo com diretrizes do conselho de administração e considere fatores e riscos relevantes relativos às áreas, atividades, produtos e processos objeto da auditoria. Isso justifica um requisito próprio de planejamento com base em riscos, separado do plano anual formal. O planejamento é o processo; o plano anual é o documento obrigatório que materializa escopo, priorização, cronograma e recursos.
O plano anual deve ser baseado na avaliação de riscos de auditoria e conter, no mínimo, os processos que farão parte do escopo, a classificação desses processos por nível de risco, a proposta de cronograma e a alocação de recursos disponíveis. Como o texto usa “plano anual”, foi criada recorrência anual sem data fixa, pois a norma não define dia ou mês específico. A aprovação do plano pelo conselho de administração e pelo comitê de auditoria, quando constituído, foi incorporada ao mesmo requisito, por ser etapa do mesmo artefato.
Para cada trabalho específico de auditoria interna, a Circular exige plano específico, papéis de trabalho e relato de conclusões e recomendações. Esse bloco foi separado do plano anual porque tem gatilho e evidências diferentes: cada trabalho demanda seu próprio dossiê, com escopo, cronograma, procedimentos, alocação de recursos, provas, fatos, informações e conclusões. A execução do trabalho também deve abranger coleta e análise de informações e realização de testes suficientes para fundamentar conclusões e recomendações ao conselho de administração.
A norma exige ainda relatório de acompanhamento das providências tomadas para atendimento às recomendações e relatório anual de auditoria interna. O relatório de acompanhamento foi tratado como requisito próprio, pois está ligado à remediação de recomendações, planos de ação, responsáveis, evidências de implementação e fechamento. O relatório anual, por sua vez, sintetiza resultados dos trabalhos, principais conclusões, recomendações e providências tomadas pela administração. Também recebe recorrência anual, sem data fixa, e deve ser aprovado pelo conselho e pelo comitê de auditoria, quando houver.
A Circular coloca o conselho de administração no centro da governança da auditoria interna. O conselho deve assegurar independência e efetividade da atividade, inclusive quando exercida por terceiros, prover os meios necessários para seu exercício adequado e informar tempestivamente os responsáveis pela auditoria interna sobre qualquer mudança material ocorrida na estratégia, nas políticas e nos processos de gestão de riscos da instituição.
Além disso, o conselho é responsável pela observância, pela instituição, das normas e procedimentos aplicáveis à auditoria interna. Esse comando foi consolidado com os deveres do art. 18 em um requisito de governança da administração, porque o processo de controle esperado é comum: pauta de governança, atas, acompanhamento da independência, provisão de recursos, comunicação de mudanças materiais e responsabilização formal.
A Circular também exige aprovação do conselho para a nomeação, designação, exoneração ou dispensa do chefe da atividade de auditoria interna, com comunicação ao Banco Central. Esse item foi tratado como requisito autônomo por envolver evento específico, aprovação formal e entrega regulatória. O texto não define canal ou prazo, então o requisito não inventa esses elementos; ele apenas exige evidência de aprovação e comunicação.
O escopo da auditoria interna deve considerar todas as funções da instituição, incluindo as terceirizadas. Esse comando é relevante para gestão de terceiros, contratos, funções externalizadas e prestação de serviços críticos. A instituição deve manter universo auditável que inclua processos internos e terceirizados, evitando que atividades relevantes fiquem fora da avaliação por estarem sob responsabilidade operacional de prestadores.
No desempenho da auditoria interna, devem ser avaliados, pelo menos: efetividade e eficiência dos controles internos e governança; políticas e estratégias de gerenciamento de riscos, incluindo riscos atuais e potenciais futuros; processos e sistemas de informações gerenciais; observância do arcabouço legal, regulamentação infralegal, recomendações de reguladores e normas internas aplicáveis; salvaguarda de ativos e atividades da função financeira; e atividades, sistemas e processos recomendados ou determinados pelo Banco Central no exercício de supervisão. Esse bloco foi extraído como requisito próprio de avaliação mínima, porque orienta diretamente matriz de cobertura, programas de auditoria e papéis de trabalho.
O Banco Central também pode determinar inclusão de trabalhos no escopo, execução de trabalhos específicos e adoção de medidas de aperfeiçoamento dos processos de auditoria interna. Embora o art. 12 esteja redigido como faculdade do regulador, ele gera gatilho operacional para a instituição quando houver determinação. Por isso, foi criado requisito por evento para registro, tratamento e evidência de atendimento a determinações supervisórias.
O regulamento específico da atividade de auditoria interna é um dos artefatos mais relevantes da Circular. Ele deve ser elaborado e mantido pela instituição, aprovado pelo conselho e pelo comitê de auditoria, quando constituído. Deve conter objetivo, escopo, posição da unidade na estrutura, características essenciais, atributos, vedações, política de remuneração, forma e destinatários de comunicação de resultados, responsabilidades do chefe da auditoria, observância a padrões reconhecidos e procedimentos de coordenação com a auditoria independente.
A Circular também exige observância a normas e procedimentos de auditoria estabelecidos pelo Banco Central e, no que não for conflitante, aos padrões do Conselho Federal de Contabilidade e do Instituto dos Auditores Internos do Brasil. Esse requisito foi enriquecido com referências operacionais oficiais para facilitar navegação e execução, sem transformar essas referências em atualização posterior do estado da Circular.
A obrigação de retenção documental é expressa: a instituição deve manter à disposição do Banco Central o regulamento vigente da auditoria interna e os documentos previstos no art. 17 pelo prazo mínimo de cinco anos. Esse requisito demanda repositório, versionamento, política de retenção, controle de acesso e capacidade de recuperação. Ele foi classificado como alta criticidade por combinar prazo mínimo expresso, disponibilidade ao regulador e documentação que comprova a execução da função de auditoria interna.
A Circular nº 3.856/2017 contém dois comandos alteradores relevantes sobre a Circular nº 3.078/2002. O art. 25 altera a redação do art. 3º para prever que o acompanhamento sistemático das atividades relacionadas ao sistema de controles internos seja objeto de relatório anual. Como o texto reproduz apenas o início do dispositivo e preserva trechos por reticências, a curadoria extraiu o comando operacional seguro: relatório anual de acompanhamento dos controles internos para administradoras de consórcio, com recomendação de leitura conjunta da norma alterada.
O art. 27 revoga, a partir de 30 de junho de 2018, os §§ 2º e 3º do art. 2º da Circular nº 3.078/2002. Esse efeito foi registrado em alteracoesRequisitos, sem criação de requisito empresarial autônomo, porque se trata de inativação de dispositivos da norma-alvo. A data de início do efeito revogatório nasce do próprio documento-fonte e foi preservada no mapa de cobertura.
As evidências mais importantes para este pacote são: regulamento da auditoria interna, organograma de subordinação, declarações de independência, matriz de competências da equipe, plano anual, matriz de riscos, papéis de trabalho, relatórios de conclusões, relatório de acompanhamento de recomendações, relatório anual, atas de aprovação, registros de comunicação ao Banco Central, inventário de funções terceirizadas, matriz de cobertura dos temas mínimos, biblioteca de padrões profissionais e repositório documental com retenção mínima de cinco anos.
As áreas internas mais envolvidas tendem a ser auditoria interna, diretoria ou conselho, riscos e controles, compliance, jurídico regulatório, tecnologia e gestão documental, recursos humanos em temas de remuneração, e suprimentos ou contratos quando houver auditoria sobre funções terceirizadas. A participação de cada área foi calibrada por requisito para evitar distribuição genérica: por exemplo, recursos humanos aparece no requisito de política de remuneração; tecnologia aparece em retenção e acesso a informações; suprimentos aparece quando o escopo envolve terceirizações.
Os controles sugeridos priorizam verificações de existência, aprovação, completude, independência, rastreabilidade, retenção e resposta a recomendações. Não foram criadas periodicidades normativas artificiais onde o texto não as traz. As recorrências foram usadas apenas quando a norma fala em plano anual, relatório anual de auditoria interna e relatório anual de acompanhamento de controles internos. Onde o texto usa evento, solicitação, determinação ou mudança, o gatilho foi tratado como acionamento, não como recorrência.
O primeiro ponto de atenção é a diferença entre retrato-fonte e consolidação. Este pacote não inativa requisitos em razão de normas posteriores. Caso o objetivo seja gerar visão consolidada atual, será necessário processar as normas posteriores aplicáveis ou fornecer expressamente o escopo consolidado desejado. A página atual de consulta do Banco Central pode exibir situação normativa posterior, mas isso não foi usado para alterar o status dos requisitos do retrato original.
O segundo ponto é a segmentação das instituições de pagamento. A Circular alcança instituições de pagamento autorizadas a funcionar pelo Banco Central. Como a segmentação disponível não possui uma etiqueta separada para a condição de autorização, os requisitos trazem a condição no resumo de aplicabilidade. Na importação, vale revisar se o workspace distingue instituições autorizadas, não autorizadas, participantes de arranjos ou prestadores não sujeitos ao mesmo regime.
O terceiro ponto é a relação com a Circular nº 3.078/2002. O art. 25 da Circular nº 3.856/2017 altera o relatório de acompanhamento de controles internos, mas não reproduz todo o conteúdo do art. 3º da norma alterada. Por isso, o requisito criado para esse ponto é deliberadamente limitado ao comando novo e seguro de periodicidade anual, com referência operacional à norma-alvo.
O quarto ponto é a estrutura de governança. A norma usa conselho de administração como referência, mas prevê imputação à diretoria ou administradores quando a instituição não possuir conselho. A importação deve permitir que a empresa adapte o responsável interno conforme sua estrutura societária, sem descaracterizar a responsabilidade formal prevista no texto.
Por fim, a retenção documental merece atenção prática. A exigência de manter documentos à disposição do Banco Central por cinco anos depende menos de interpretação jurídica e mais de disciplina operacional: repositório, versionamento, controle de acesso, integridade, índice documental e teste de recuperação. Sem isso, mesmo uma auditoria interna formalmente existente pode ter dificuldade de demonstrar aderência em supervisão ou revisão posterior.
