O que está acontecendo
Auditores SOX estão expandindo o escopo de ITGC para incluir modelos de ML em sistemas financeiros. Não é tendência futura. É o que acontece agora em auditorias de empresas de capital aberto com exposição americana.
Funcionalidades com ML em ERPs financeiros comuns: previsão de fluxo de caixa, sugestão de lançamentos, detecção de anomalias, aprovação automática de pagamentos abaixo de limites.
Cada uma dessas funcionalidades, se influenciar relatórios financeiros, está dentro do escopo SOX.
Por que isso é problema do CFO
O CFO assina a certidão SOX 302 e 906. Isso inclui a afirmação de que os controles internos sobre relatórios financeiros são efetivos.
Se um modelo de ML influencia lançamentos contábeis ou estimativas financeiras e os controles ITGC não contemplam esse modelo, o CFO está assinando uma certidão com lacuna material.
Lacuna material não descoberta é risco de reemissão de demonstrações. Lacuna descoberta em auditoria é ressalva — com consequências em mercado de capitais.
O que acontece quando isso vai para auditoria
O auditor vai mapear quais funcionalidades do ERP usam ML. Vai perguntar quais controles ITGC cobrem cada uma. Se os controles existentes não contemplam ML, vai emitir achado de lacuna.
Ressalva de auditoria SOX tem consequências imediatas: custo de remediação com prazo, comunicação ao conselho e comitê de auditoria, possível impacto em avaliação de risco pelo mercado.
Dependendo da magnitude, pode exigir reemissão de controles e nova rodada de testes antes da próxima emissão de relatório financeiro.
Impacto financeiro estimado
Custo de remediação emergencial de ITGC: R$ 500k a R$ 2M dependendo da complexidade e do prazo. Inclui consultoria especializada, nova documentação, testes e nova auditoria.
Impacto em mercado de capitais: difícil quantificar, mas ressalva SOX normalmente afeta rating e percepção de risco por analistas.
Custo de reemissão de demonstrações: inclui honorários adicionais de auditoria, publicação de errata e potencial exposição a processos de acionistas.
O que fazer
- Mapear quais funcionalidades do ERP e sistemas financeiros usam ML ou IA
- Para cada funcionalidade: documentar o que ela decide, qual impacto tem nos relatórios financeiros, e quem é o responsável
- Revisar os controles ITGC existentes: eles cobrem o comportamento do ML (monitoramento de performance, aprovação de versão)?
- Incluir modelos de ML no escopo do próximo ciclo ITGC — não esperar o auditor apontar
- Evidência mínima: AI Owner nomeado + log de monitoramento dos últimos 12 meses por sistema crítico
"Se você não consegue provar, você não controla. O auditor SOX vai perguntar sobre o ML do ERP. Você vai precisar de evidência — não de explicação."