Definição de gestão de tesouraria de criptomoedas

A gestão de tesouraria de criptomoedas é o conjunto de políticas, controles e processos operacionais que uma organização utiliza para proteger, movimentar, contabilizar e reportar ativos digitais. Para empresas, gestores de ativos, fintechs, DAOs e organizações sem fins lucrativos, os objetivos podem variar desde o pagamento a fornecedores até a manutenção de reservas estratégicas ou a viabilização de funcionalidades de produtos.

Independentemente do caso de uso, os princípios são os mesmos: governança clara, arquitetura de custódia adequada à finalidade, operações bem documentadas, gestão de riscos robusta e registros prontos para auditoria.

Pontos principais:

• Comece com uma política de tesouraria clara e aprovada pelo conselho que defina ativos, níveis de carteiras, limites, responsáveis pela aprovação e como as alterações são registradas.

• Crie uma estrutura de custódia resiliente que atribua carteiras ativas, intermediárias e inativas às funções adequadas, selecione guarda compartilhada, A custódia própria, ou um modelo híbrido, garante o controle duplo e comprova a recuperação por meio de exercícios regulares.

• Cumpra as normas de conformidade verificando as contrapartes, fazendo triagem de sanções, seguindo a Regra de Rastreabilidade para transferências e mantendo registros para auditorias ([5], [6]).

Âmbito e conceitos fundamentais da gestão de tesouraria em criptomoedas

O que está coberto:

Gestão de tesouraria abrange a custódia e o gerenciamento de chaves, a classificação de carteiras (hot/warm/cold), aprovações e limites, operações de pagamento, acesso à liquidez, on/off-ramps, contabilidade, tributação e suporte à auditoria. Inclui também integração de contrapartes, controles de sanções e resposta a incidentes alinhados às normas de segurança cibernética e gerenciamento de chaves (por exemplo, NIST SP 800-57 para ciclos de vida de chaves e FIPS 140-3 para módulos criptográficos). [1][2]

Quem usa e por quê:

As organizações mantêm criptomoedas para fluxos operacionais (pagamentos com stablecoins, liquidações com fornecedores), exposição no balanço patrimonial (reservas de BTC/ETH), funcionalidades de produtos (quando permitido) ou participação no ecossistema (governança, liquidação na cadeia). A adequação depende do mandato do conselho, da propensão ao risco e das regras jurisdicionais; muitas instituições contam com sistemas de gestão de segurança da informação e certificação de terceiros (ISO/IEC 27001; auditorias SOC) para comprovar o projeto e a operação dos controles.

Termos-chave que você encontrará:

• Custódia qualificada versus autocustódia: o status jurídico, a segregação e os atestados variam de acordo com o regime e o provedor.

• Níveis de carteiras: ambientes quentes/mornos/frios associados a limites de aprovação e tipos de transação.

• Multassinatura (multisig) e MPC: abordagens para distribuir o controle e reduzir o risco associado a uma única chave; a pesquisa em criptografia de limiar sustenta os esquemas de MPC.
  [13]

• Stablecoins e redes de liquidação: o tratamento regulatório e os riscos variam; organismos internacionais emitiram recomendações de alto nível para a governança e a gestão de riscos dos mecanismos de stablecoins.
  [14]

• Contabilidade auxiliar, mensuração pelo valor justo e evidências de auditoria: a evolução das normas contábeis e das práticas de confirmação para ativos digitais.

Governança e elaboração de políticas

Uma política sólida é a base da gestão de tesouraria em criptomoedas. Ela alinha a intenção da diretoria com controles práticos e cria uma linguagem comum para a gestão de riscos.

Política de tesouraria e estrutura de aprovação:

• Elabore uma política aprovada pelo conselho que descreva os ativos permitidos, os casos de uso, os locais e as atividades proibidas.

• Defina limites de gastos por carteira, função, ativo, contraparte e intervalo de tempo. Exija controle duplo para ações sensíveis e aprovações em níveis hierárquicos superiores para transações de alto risco - uma aplicação direta dos princípios clássicos de controle interno (por exemplo, a segregação de funções, conforme o COSO).
  [16]

• Gestão de alterações em documentos: quem pode alterar limites, listas de signatários ou roteamento de carteiras; como as alterações são analisadas e registradas.

Separação de funções e definição de funções:

• Separe a pessoa que solicita um pagamento daquela que o aprova e daquela que o assina.

• Aplique o princípio do acesso com privilégios mínimos, elevação temporária de privilégios para exceções e registro imutável que vincule as ações às identidades das pessoas (prática comum em ambientes auditados segundo as normas SOC 1/SOC 2).

Integração de contrapartes e plataformas:

• Estabelecer critérios de diligência devida para depositários, bolsas, Mesas de operações no mercado de balcão, plataformas de liquidez e bancos. Registre acordos legais, SLAs, histórico de tempo de atividade/incidentes e garantias de recuperação de desastres.

• Manter um inventário atualizado de endereços, carteiras e locais aprovados; revisar o acesso em intervalos regulares.

Medidas de conformidade:

• Implementar os processos de KYB/KYC, verificação de sanções e Travel Rule para transferências de ativos virtuais, quando necessário (informações do remetente/beneficiário e transmissão segura entre VASPs).
  [5]

• Acompanhe as orientações sobre sanções relacionadas a moedas virtuais, incluindo as expectativas em relação à triagem, aos controles de geofencing e à manutenção de registros.

• Registre as interpretações regulatórias por jurisdição e a base jurídica para cada atividade (licenciamento, isenções ou proibições).

• Manter registros das verificações de sanções e da troca de dados no âmbito da Travel Rule, e implementar controles/geofencing para evitar jurisdições ou pessoas proibidas.

Arquitetura de custódia: custódia, carteiras e chaves

O projeto da sua arquitetura de custódia determina o grau de resiliência da sua tesouraria diante de falhas cibernéticas e operacionais.

Custódia qualificada versus autocustódia:

• A custódia qualificada centraliza a guarda dos ativos em uma entidade regulamentada que oferece segregação, governança e documentos de auditoria comumente solicitados (por exemplo, relatórios SOC). Isso pode facilitar a coleta de evidências e aprovações baseadas em políticas; você mantém o controle e as responsabilidades relacionadas aos riscos de terceiros.

• A autocustódia dá à sua organização o controle direto das chaves, mas transfere a responsabilidade pela geração, armazenamento, rotação, recuperação e independência do signatário para os seus controles internos, alinhados a normas reconhecidas (por exemplo, as diretrizes de gerenciamento de chaves do NIST e a ISO 27001).

Muitas instituições combinam as duas opções: um custodiante qualificado para os ativos do nível de cofre e um nível intermediário rigorosamente controlado para os fluxos de rotina.

Níveis de carteiras e controles de acesso:

• "Quente", "morno" e "frio" são termos comumente usados no setor; os parâmetros de controle específicos variam de acordo com o fornecedor e a configuração do programa.

• Cofres frios: Offline, com acesso altamente restrito. Utilizados para reservas de longo prazo e liquidações esporádicas. O acesso requer procedimentos formalizados envolvendo várias pessoas; os módulos e processos criptográficos devem estar em conformidade com normas reconhecidas (por exemplo, FIPS 140-3).

• Carteiras quentes: acessíveis pela rede com controles adicionais (aprovações por quorum, listas de permissões, bloqueios temporários). Utilizadas para liquidações regulares dentro dos limites estabelecidos pela política.

• Carteiras quentes: atrito mínimo para fluxos automatizados e saldos de baixo valor; imponha limites rigorosos e monitoramento contínuo. Vincule cada nível a requisitos de aprovação explícitos, limites de velocidade e regras de monitoramento. Ambientes separados para signatários e operadores; evite dispositivos compartilhados. O planejamento de continuidade de negócios deve descrever como as operações prosseguiriam caso dispositivos, locais ou fornecedores específicos ficassem indisponíveis.

MPC e assinatura múltipla:

• A assinatura múltipla (política na cadeia) elimina um ponto único de falha e é transparente na cadeia, mas depende do suporte da cadeia e das ferramentas da carteira.

• A MPC distribui o material de chave entre os participantes e gera assinaturas de forma colaborativa sem reconstruir uma chave privada completa. A adequação depende da qualidade da implementação, do projeto de recuperação e das expectativas dos auditores; o trabalho do NIST sobre esquemas de limiar oferece uma base conceitual útil para controles do tipo MPC. Nenhuma das abordagens é universalmente superior; a adequação depende do modelo de ameaças, do projeto de recuperação, das expectativas dos auditores e da cobertura de ativos/locais.

Backups, recuperação de desastres e continuidade dos negócios:

• Crie backups criptografados e distribuídos geograficamente para sementes ou partes de chaves. Armazene-os em domínios administrativos distintos e teste as restaurações em intervalos definidos (por exemplo, de acordo com um programa documentado de planejamento de contingência).

• Manter manuais de procedimentos para dispositivos perdidos, signatários comprometidos e rotação de emergência. Realizar exercícios simulados e registrar as lições aprendidas.

• Mantenha um plano de comunicação fora da rede e designe antecipadamente os responsáveis pela gestão de incidentes. Os sistemas de gestão da segurança da informação (ISO 27001) e os catálogos de controles (NIST SP 800-53) fornecem a estrutura necessária para esses programas.

Onde um custodiante qualificado, como a BitGo, se encaixa:

Quando disponível e sujeito a critérios de elegibilidade, um custodiante qualificado pode fornecer APIs para aprovações baseadas em políticas, segregação, assinatura segura e geração de relatórios que se integram aos sistemas de tesouraria. Utilize esses recursos para implementar os controles estabelecidos em sua política; evite procedimentos ad hoc e mantenha ativa a gestão de riscos de terceiros (relatórios de garantia, SLAs, notificações de incidentes). A disponibilidade, o status regulatório e os recursos do produto variam de acordo com a jurisdição, o tipo de cliente e o ativo; nada aqui constitui um compromisso de prestar serviços a qualquer pessoa ou de custodiar qualquer ativo.

Liquidez, pagamentos e operações de liquidação

As operações traduzem as políticas em fluxos repetíveis e auditáveis.

Capital de giro, stablecoins e fluxos de pagamentos:

• Defina os saldos operacionais por carteira e moeda. Para pagamentos com stablecoins, quando permitido, estabeleça horários de corte, políticas de taxas e notas padrão para reconciliação. Órgãos internacionais de normalização publicaram expectativas gerais sobre governança e gestão de riscos de acordos envolvendo stablecoins; incorpore esses temas aos seus controles (reservas, estruturas de resgate, divulgações). O tratamento regulatório, os mecanismos de resgate, as divulgações de reservas e os riscos de contraparte variam de acordo com o emissor; realize uma due diligence independente e uma análise jurídica antes do uso. As orientações estão em evolução; confirme a data de referência ao projetar os controles.

• Para uso transfronteiriço, verifique o tratamento regulatório do ativo, os parceiros de entrada e saída e quaisquer obrigações de licenciamento antes de transferir fundos (podem ser aplicáveis as regras da FATF e as normas locais contra a lavagem de dinheiro).

Execução e roteamento de local:

• Crie um fluxo de trabalho de solicitação a liquidação: verificações pré-negociação (limites de exposição, resultados de sanções, saldo disponível), seleção da plataforma de negociação e reconciliação pós-negociação.

• Monitore a qualidade da execução por meio de indicadores como o spread efetivo e o déficit de execução, sem que isso implique resultados garantidos; a fragmentação e as tensões do mercado podem alterar as condições rapidamente (documente os pressupostos e as fontes de dados). As métricas são descritivas, não preditivas; as condições podem mudar sem aviso prévio e os resultados não são garantidos.

Gerenciamento de rampas de entrada e saída e interfaces bancárias:

• Sempre que possível, mantenha relações com vários parceiros de liquidação. Documente os fluxos de entrada e saída de fundos, as tabelas de taxas e os prazos previstos.

• Automatizar as transferências de volta para a custódia a partir de contas operacionais. Reconciliar extratos bancários, extratos de custódia e registros na cadeia de blocos de acordo com um cronograma definido na política; preservar os registros para fins de auditoria (mapeamentos de endereços, TXIDs, aprovações).

Contabilização e reconciliação:

• Utilize um livro auxiliar de criptomoedas que registre endereços, transações, custo de aquisição por lote e lucros e perdas realizados/não realizados; associe cada transação a uma solicitação interna, aprovação e destino.

• Reconcilie de três maneiras: dados na cadeia de blocos, extratos de custodiantes/bolsas e registros contábeis internos. Registre e resolva discrepâncias com notas sobre a causa raiz; os auditores podem solicitar confirmações independentes e evidências sólidas da integridade e precisão dos saldos de ativos digitais.

Gestão de riscos, conformidade e controles

A gestão de riscos é a disciplina que consiste em identificar claramente os riscos a que você está exposto e decidir antecipadamente o que você aceita e o que não aceita.

Risco de mercado, de liquidez e de concentração:

• Defina limites de exposição por ativo, contraparte e plataforma. Adicione limites para a concentração em uma única carteira, cadeia ou parceiro de liquidação.

• Execute cenários de estresse (diferenças de preço, slippage, atrasos nos saques, interrupções nas plataformas) e documente como você reduziria o risco dentro das diretrizes; análises do setor público destacam a fragmentação e o potencial para que situações de estresse ampliem as diferenças entre plataformas.

Risco operacional e de segurança:

• Aplicar o princípio do privilégio mínimo, o controle duplo para ações confidenciais e a independência dos signatários entre regiões geográficas e entidades jurídicas, sempre que possível (COSO, ISO 27001).

• Reforce a segurança dos dispositivos utilizados em cerimônias e remova rádios e softwares desnecessários; utilize listas de permissão, bloqueios por horário, limites de velocidade e alertas.

• Registre todas as aprovações e assinaturas em registros imutáveis; alinhe as evidências às expectativas dos relatórios SOC (eficácia do projeto e da operação dos controles).

Gestão de riscos de terceiros:

• Avalie os provedores de serviços quanto a atestados de segurança independentes, histórico de disponibilidade e transparência em relação a incidentes. Analise os termos de notificação de violações, a retenção de dados e os padrões de criptografia (relatórios SOC, certificações ISO).

• Mantenha um ciclo de vida: procedimentos de due diligence na integração, atualização periódica e manuais de encerramento (incluindo exportação de dados e destruição/rotação de qualquer material essencial sob seu controle). As referências a fornecedores são meramente ilustrativas e não constituem recomendações ou ofertas.

Resposta a incidentes e continuidade dos negócios:

• Predefinir procedimentos para casos de suspeita de comprometimento de chaves, perda de signatário, falha na retirada de fundos, aplicação de sanções e interrupção do serviço; designar tomadores de decisão e caminhos de escalonamento.

• Mantenha listas de contatos fora da rede; realize simulados e documente os resultados. As orientações do NIST sobre planejamento de contingência oferecem uma estrutura prática para testes e melhorias.

Contabilidade, Auditoria e Relatórios

As normas e interpretações estão em constante evolução; as referências aqui contidas referem-se à data de 26 de agosto de 2025 e estão sujeitas a alterações. Coordene essas determinações com seus auditores.

As equipes financeiras precisam de dados consistentes, completos e fáceis de verificar.

Tratamento contábil e mensuração pelo valor justo:

• Para as empresas que elaboram relatórios de acordo com os US GAAP, a FASB ASU 2023-08 exige que determinados ativos criptográficos sejam mensurados pelo valor justo, com as variações reconhecidas no resultado líquido, e inclui novas divulgações (as datas de vigência variam; é permitida a adoção antecipada). Coordene com os auditores e divulgue as datas de referência para as fontes de precificação.
  [10]

• De acordo com as IFRS, as participações em criptomoedas são geralmente tratadas como ativos intangíveis, a menos que sejam mantidas para venda no curso normal das atividades; consulte a decisão da agenda de 2019 do Comitê de Interpretações das IFRS para considerações sobre classificação e mensuração. [11]

Contabilidade auxiliar, base de custo e documentação fiscal:

• Manter registros por lote que incluam data de aquisição, custo de aquisição, taxas e método de alienação. Registrar a relação entre solicitações internas, aprovações e transações resultantes.

• Armazene endereços, carteiras e IDs de transações em um registro vinculado à finalidade comercial e à contraparte. Mantenha a documentação para fins de declaração fiscal em conformidade com a legislação local e as expectativas dos auditores (os guias práticos da AICPA/CIMA oferecem orientações úteis sobre as evidências).

Preparação para a auditoria e coleta de evidências:

• Prepare as reconciliações entre os extratos dos depositários, os dados na cadeia de blocos e o razão geral. Utilize confirmações independentes de depositários qualificados durante a auditoria e mantenha os relatórios SOC e as cartas de ponte, quando disponíveis.

• Mantenha à disposição os documentos de procedimentos, registros de gestão de mudanças, listas de signatários e análises de acesso. Demonstre que os controles foram projetados e estão operando conforme o previsto (ISO/IEC 27001 no contexto do SGSI; relatórios SOC para controles sobre relatórios financeiros ou segurança, disponibilidade e confidencialidade). As práticas de auditoria variam de acordo com a empresa e a jurisdição; as conclusões do seu auditor podem diferir.

Relatórios para a administração e o conselho de administração:

• Forneça painéis com saldos, exposições, limites e exceções. Acompanhe as declarações de conformidade das políticas, os resultados dos testes de controle, as discrepâncias de reconciliação e os resumos de incidentes.

• Relatório sobre a integridade dos serviços prestados: tempo de atividade, desempenho do SLA, relatórios de auditoria recebidos e quaisquer desvios de controle (programa de risco de terceiros).

Um roteiro prático para a gestão de tesouraria em criptomoedas

Fase 1: A política em primeiro lugar.

Elabore ou atualize a política de tesouraria com o apoio do departamento jurídico. Defina objetivos, ativos, canais, níveis de carteira, aprovações, limites e gestão de mudanças. Estabeleça critérios de integração de contrapartes e um fluxo de trabalho para sanções e a Regra de Viagem.

Fase 2: Seleção da arquitetura.

Escolha entre custódia qualificada, autocustódia ou uma opção híbrida, com base no risco e na jurisdição. Decida sobre a utilização de assinatura múltipla (multi-sig) e/ou processamento múltiplo de chaves (MPC), a independência dos signatários e uma estratégia de backup alinhada com os padrões de gerenciamento de chaves e criptográficos.

Fase 3: Testar fluxos de baixo risco.

Comece com saldos operacionais modestos e processos estáveis. Demonstre que é capaz de aprovar, assinar, liquidar, reconciliar e gerar relatórios. Avalie a qualidade da execução e os prazos de liquidação; documente os pressupostos e os fornecedores de dados.

Fase 4: Balança com controles.

Implemente a automação onde ela apoie - e não substitua - os controles. Aumente os limites somente após os testes de controle, a precisão da reconciliação e as evidências de auditoria terem se mostrado consistentemente sólidos (as estruturas SOC/ISO podem servir de base para a descrição dos controles).

Fase 5: Teste e melhore.

Realizar simulados de recuperação, exercícios teóricos de incidentes e testes de failover de fornecedores. Analisar métricas e resultados de auditorias; atualizar políticas e procedimentos de acordo com as conclusões (conceitos de planejamento de contingência do NIST).

Perguntas frequentes

Um custodiante qualificado elimina o risco operacional?

Não. Um custodiante qualificado pode oferecer segregação, governança e relatórios que auxiliam nos procedimentos de auditoria e reduzem certos riscos, mas sua organização continua sendo responsável pela elaboração de políticas, aprovações e supervisão de fornecedores. O risco não pode ser eliminado; siga as práticas de gestão de riscos de terceiros e solicite relatórios de garantia (SOC) quando aplicável.

O MPC é mais seguro do que a assinatura múltipla? Ambos resolvem problemas diferentes e cada um apresenta vantagens e desvantagens. A assinatura múltipla aplica políticas na cadeia e é transparente; o MPC distribui o material de chave e pode oferecer cobertura de ativos entre cadeias. A escolha deve ser feita com base no modelo de ameaças, nas expectativas do auditor e no projeto de recuperação; a literatura sobre criptografia de limiar explica o modelo de segurança por trás dos esquemas de MPC/limiar.

Podemos confiar em uma única fonte de liquidez?

Depender de uma única plataforma concentra os riscos. Considere diversificar os canais de acesso, estabelecer rotas de saída documentadas e definir alternativas para casos de interrupções ou atrasos; a fragmentação e o estresse podem ampliar as disparidades entre as plataformas.

As stablecoins podem substituir os canais de pagamento tradicionais?

As stablecoins podem permitir uma liquidação mais rápida em alguns contextos, mas o tratamento regulatório, a integração das contrapartes e os processos de reconciliação devem ser estabelecidos antes da utilização em produção. Consulte as orientações internacionais sobre governança e gestão de riscos para acordos envolvendo stablecoins.

Como podemos comprovar o controle sem revelar segredos?

Utilize atestados, confirmações de custódia, comprovantes de endereço e registros de aprovação imutáveis. Compartilhe resumos de procedimentos e relatórios de auditoria, em vez de detalhes operacionais que possam aumentar o risco de ser alvo de ataques (contexto da ISO/IEC 27001 e relatórios SOC para garantia independente).

---

Referências (com links)

NIST SP 800-57 Parte 1 Rev. 5, Recomendações para o gerenciamento de chaves - Parte 1 (Geral). Página: https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final PDF: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-57pt1r5.pdf

NIST FIPS 140-3, Requisitos de segurança para módulos criptográficos.
Página: https://csrc.nist.gov/pubs/fips/140/3/final
PDF: https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-3.pdf

ISO/IEC 27001:2022, Sistemas de gestão da segurança da informação - Requisitos. Página: https://www.iso.org/standard/27001

AICPA, Controles de Sistemas e Organização (SOC) - Visão geral.
Página: https://www.aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services

FATF, Orientações atualizadas para uma abordagem baseada no risco em relação aos ativos virtuais e aos VASPs (outubro de 2021).
Página: https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Guidance-rba-virtual-assets-2021.html
PDF: https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Updated-Guidance-VA-VASP.pdf

Departamento do Tesouro dos EUA (OFAC), Orientações sobre conformidade com sanções para o setor de moedas virtuais (outubro de 2021). PDF: https://ofac.treasury.gov/media/913571/download?inline= Notice: https://ofac.treasury.gov/recent-actions/20211015 [6]

BIS, Escalabilidade da blockchain e a fragmentação das criptomoedas, Boletim do BIS n.º 56 (junho de 2022). PDF: https://www.bis.org/publ/bisbull56.pdf

IOSCO, Recomendações de Política para as Finanças Descentralizadas (DeFi) (dezembro de 2023). PDF: https://www.iosco.org/library/pubdocs/pdf/IOSCOPD754.pdf

NIST SP 800-34 Rev. 1, Guia de Planejamento de Contingência para Sistemas de Informação Federais (maio de 2010). Página: hhttps://csrc.nist.gov/pubs/sp/800/34/r1/upd1/final
PDF: https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-34r1.pdf

FASB ASU 2023-08, Contabilização e divulgação de ativos criptográficos.
Página: https://www.fasb.org/page/PageContentpageId=%2Fprojects%2Frecentlycompleted%2Faccounting-for-and-disclosure-of-crypto-assets.html
PDF: https://storage.fasb.org/ASU%202023-08.pdf

Comitê de Interpretações das IFRS, Detenção de criptomoedas - Decisão sobre a agenda (junho de 2019). PDF: https://www.ifrs.org/content/dam/ifrs/supporting-implementation/agenda-decisions/2019/holdings-of-cryptocurrencies-june-2019.pdf

AICPA e CIMA, Guia Prático: Contabilização e Auditoria de Ativos Digitais (página de recursos).
Página: https://www.aicpa-cima.com/resources/download/accounting-for-and-auditing-of-digital-assets-practice-aid-pdf

NISTIR 8214A, Esquemas de limiar para primitivas criptográficas: uma introdução aos esquemas de limiar (2020).
PDF: https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8214A.pdf

FSB, Recomendações de alto nível para a regulamentação, supervisão e fiscalização de acordos globais relativos a stablecoins (julho de 2023).
Página: https://www.fsb.org/2023/07/high-level-recommendations-for-the-regulation-supervision-and-oversight-of-global-stablecoin-arrangements-final-report/
PDF: https://www.fsb.org/uploads/P170723-3.pdf

CPMI-IOSCO, Aplicação do PFMI aos acordos relativos a stablecoins (outubro de 2020).
PDF: https://www.bis.org/cpmi/publ/d198.pdf

COSO, Controle Interno - Estrutura Integrada (2013) (visão geral).
Página: https://www.coso.org/guidance-on-ic

FinCEN, Aplicação dos regulamentos da FinCEN a determinados modelos de negócios envolvendo moedas virtuais conversíveis (FIN-2019-G001).
Página: https://www.fincen.gov/resources/statutes-regulations/guidance/application-fincens-regulations-certain-business-models
PDF: https://www.fincen.gov/sites/default/files/201905/FinCEN%20Guidance%20CVC%20FINAL%20508.pdf

NIST SP 800-53 Rev. 5, Controles de segurança e privacidade para sistemas de informação e organizações. Página: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final
PDF: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

IOSCO, Recomendações de políticas para os mercados de criptomoedas e ativos digitais - Relatório final (novembro de 2023). PDF: https://www.iosco.org/library/pubdocs/pdf/IOSCOPD747.pdf