A Resolução CMN 4968/21 foi anunciada como para reforçar entre as instituições financeiras a importância de uma gestão de excelência dos controles internos.
Como tem acontecido em outros setores da economia, existe uma convergência das agências reguladoras e da legislação no fortalecimento da governança corporativa por meio da normatização para implementação de processos estruturados para gerenciamento de riscos e sistemas de controles internos.
O setor financeiro, apesar de já apresentar, já algum tempo, uma adequada maturidade no gerenciamento de risco, no ano de 2017, o Banco Central publicou a Resolução 4557 direcionando a importância de a instituição contar com um processo integrado e estruturado de gerenciamento de riscos, incluindo o gerenciamento dos riscos operacionais, para o aperfeiçoamento de sua governança. Em 2019 esta resolução foi melhorada pela Resolução 4745 que dispõem sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital.
Sabemos que para a existência de uma efetiva governança corporativa é necessário que exista uma estrutura integrada e contínua de gerenciamento dos riscos corporativos, sejam eles estratégicos ou operacionais, que por sua vez, necessita de efetivos sistemas de controle interno.
Consciente disto e com o intuito de fortalecer as instituições financeiras, o Conselho Monetário Nacional, por meio do Banco Central, publicou, no dia 25 de novembro último, a Resolução CMN 4968 a qual dispõem sobre a implementação, manutenção e responsabilidades dos sistemas de controles internos nas instituições financeiras.
Fazendo uma análise da resolução, de forma acertada, fica notório que a base usada para a sua elaboração foi o paradigma de boas práticas de controle interno do COSO ICFR.
Vamos detalhar a Resolução CMN 4968/21
Olhando um pouco mais em detalhe esta resolução, temos o art.2º que define a obrigatoriedade da implementação e manutenção de um sistema de controle interno compatível com a organização, incluindo compatível com o perfil de riscos.
Pode parecer irrelevante, mas faz todo sentido, pois, precisamos ter em mente que o controle interno como uma ação de mitigação da probabilidade da materialização do fator de risco, só tem sentido existir se, primeiro ele tiver um ou mais fatores de riscos relacionados, e depois se for suficiente para mitigar o fator de risco dentro dos limites aceitáveis de risco, alinhado ao apetite a risco.
Um outro ponto que chama atenção é o item I.3.C do art.5º, que determina que a gestão não estabeleça metas que incentive a tomada de decisão fora do apetite a risco da corporação. Não me lembro de ter visto algo parecido em outras regulamentações sobre risco e controle.
Também foi incorporado a necessidade de emissão de um relatório periódico sobre controles internos, o qual deve ser submetido ao Conselho, ou na falta deste, à Diretoria, para que possam ter ciência e ação sobre vulnerabilidades e ações de melhoria e fortalecimento. Este é um ponto positivo, pois irá fornecer maior transparência sobre as ações que estão sendo tomadas pela gestão para implementação e manutenção dos controles internos.
Ele também esclarece que o relatório deve ficar à disposição do Banco Central por cinco anos, que por analogia, podemos dizer que os especialistas em controles internos e gestão de riscos, como também os auditores internos, devem manter sua base de evidências e papéis de trabalho pelo mesmo tempo, isto é, cinco anos passados e um ano corrente.
Em minha opinião um dos itens mais importante desta resolução está centrada no capítulo III, que dispõem sobre a responsabilidade da administração em relação ao controle interno.
É muito comum se deparar, nas corporações, com a discussão de quem é responsável pelo gerenciamento de riscos e do sistema de controle interno, e agora este tema está claramente definido nos artigos 7º, 8º e 9º, não deixando mais duvidas da responsabilidade da gestão sobre a aplicação das melhores práticas de governança corporativa para uma empresa sustentável e perene.
Como colocar em prática a Resolução CMN 4968/21?
Agora vamos, de forma prática, entender como é que as instituições irão se alinhar aos requisitos da resolução. Em sua grande maioria, as instituições financeiras já contam com uma segunda linha de gestão, na figura dos especialistas em gestão de riscos e também de controles internos, o que irá facilitar este alinhamento.
Minha sugestão de atividades, para que os especialistas de segunda linha auxiliem a instituição neste processo de alinhamento, são os seguintes:
- Defina a estrutura do COSO Controles Internos como paradigma de boas práticas. Com base nos 17 princípios do COSO mais nos requisitos da resolução, faça um diagnóstico de aderência. Para os itens não aderentes encontrado, trabalhe com a gestão na definição de ações de remediação,
- Segregue a instituição em ciclos de negócio (ciclo de recebimento, ciclo de pagamento e ciclo (s) finalístico (s)), segmentando-os por processos operacionais,
- Faça uma relação top-down dos processos identificados, levando em consideração a materialidade ou o risco envolvido, e crie um plano de trabalho para avaliação operacional dos processos,
- Elabore o mapeamento de cada um dos processos operacionais identificados por meio de entrevistas, ou por oficinas de trabalho com os gestores. Formalize este entendimento de forma gráfica utilizando a técnica do fluxograma. É importante que as tarefas e os controles sejam identificados,
- Com base nos objetivos de cada um dos processos, elabore uma matriz de riscos, identificando o risco (Inerente, TI e Fraude) e seus fatores de riscos; avalie a magnitude com base nas métricas de probabilidade e impacto, conhecendo o risco bruto,
- Elabore a matriz de controle, considerando todos os controles identificados no fluxograma,
- Alinhe, utilizando a matriz de alinhamento, os controles com os respectivos fatores de riscos,
- Valide, por meio de testes de eficiência, os controles que mitigam fatores de riscos, e veja se são suficientes para trazer o risco bruto ao risco residual, alinhado ao apetite a risco da corporação,
- Avalie os controles que não estão mitigando nenhum fator de risco. Avalie também os fatores de riscos que não estão sendo mitigados e/ou fatores de riscos com mais de um controle mitigador, pois pode haver oportunidades de melhorias e de economicidade.
Conceitualmente, os passos acima devem ser suficientes para que a instituição esteja em conformidade com a resolução objeto deste artigo, e também deve auxiliar na condução da Resolução 4557.
Nem preciso comentar que utilizando o conceito das três linhas de gestão, todas estas tarefas são de responsabilidade da primeira linha de gestão, apoiados, logicamente pelos profissionais especialistas de segunda linha. Tudo isto depois será parte do escopo de avaliação objetiva e independente realizado pela auditoria interna, terceira linha de gestão.
Tenho certeza que a aplicação desta resolução será crucial para o fortalecimento da governança da organização, tornando-a melhor preparada para as mudanças de mercado e para aos riscos emergentes, criando sustentabilidade e perenidade.
No final, reflita, inove e mude! Seja feliz!
Autor: Eduardo Pardini, CICP