Após a promulgação da Lei Sarbanes-Oxley (SOX) em 2002, a chamada governança dos controles internos sobre o reporte financeiro se tornou um dos pilares centrais da gestão de riscos e da prestação de contas no setor bancário global. Por isto mesmo acho importante saber como os grandes bancos estão estruturando, monitorando e evoluindo seus programas SOX.
Para isto queria comentar sobre uma recente pesquisa de benchmarking conduzida pela EY, chamada de "Large Bank SOX Benchmarking Survey 2024", cujo objetivo foi exatamente mapear o estado da arte dos programas SOX em grandes bancos globais, identificar tendências, comparar práticas entre instituições e oferecer dicas técnicas para evolução dos frameworks de controle.
A pesquisa é particularmente relevante considerando o papel crítico que os grandes bancos exercem na estabilidade do sistema financeiro internacional, até mesmo dado seu porte, complexidade e impacto sistêmico, falhas nos controles internos dessas instituições podem ter repercussões significativas, tanto para os mercados quanto para a confiança do público e dos investidores.
A conformidade com a Seção 404 da SOX exige que as companhias de capital aberto, incluindo bancos, avaliem e atestem anualmente a efetividade dos seus controles internos sobre o reporte financeiro, sujeitando-se ainda à auditoria independente sobre essa avaliação. Por isto que, sem dúvida, a robustez dos programas SOX reflete diretamente na qualidade das demonstrações financeiras, na integridade do processo de governança e na mitigação de riscos reputacionais e regulatórios.
A importância da pesquisa também se amplifica frente a mudanças regulatórias recentes, como a adoção pela SEC das novas regras para divulgação de riscos climáticos, e o aumento das expectativas do PCAOB quanto à profundidade das avaliações de riscos de controle, aonde tais mudanças pressionam as instituições a expandirem a abrangência dos seus programas de conformidade, incorporando não apenas riscos financeiros tradicionais, mas também riscos de sustentabilidade, de transformação tecnológica e de uso de terceiros críticos (serviços terceirizados relevantes).
Além disso temos ainda o advento das novas tecnologias como automação robótica de processos (RPA), análise de dados em larga escala e o emergente campo da Inteligência Artificial, que começam a criar oportunidades e novos riscos para o ambiente de controle, exigindo atualização constante das abordagens tradicionais de avaliação e teste de controles internos.
Contexto, Metodologia e Perfil dos Participantes
O universo pesquisado compreendeu 17 bancos de grande porte, incluindo seis instituições norte-americanas e 11 emissores estrangeiros privados sediados em oito diferentes países: Austrália, Canadá, Alemanha, Japão, Espanha, Suíça e Reino Unido, aonde esta composição diversificada proporcionou uma comparação internacional rica, possibilitando a identificação de padrões comuns e de variações relevantes influenciadas por fatores regulatórios locais, maturidade dos sistemas financeiros e diferenças culturais na gestão de riscos.
Os participantes incluíam uma gama variada de modelos de negócios bancários: bancos de varejo, bancos corporativos, bancos de investimento e gestores de ativos, aonde essa outra diversidade também foi importante para capturar as nuances de aplicação da SOX em ambientes operacionais distintos, dado que o perfil de produtos e clientes impacta diretamente na natureza dos riscos de reporte financeiro enfrentados por cada instituição.
A média de ativos consolidados entre os participantes foi de aproximadamente US$ 995 bilhões, considerando a conversão dos ativos dos FPIs para dólares americanos para fins de comparação homogênea, o que é relevante observar que este patamar coloca os participantes entre as maiores instituições financeiras do mundo, o que significa que seus programas SOX precisam lidar com desafios de escala, complexidade tecnológica e estrutura organizacional intrincada.
Outro aspecto metodológico de destaque foi a inclusão de 11 bancos que também participaram da edição anterior da pesquisa, o que permitiu a análise comparativa evolutiva (ano a ano) e a identificação de tendências de maturação dos programas, sendo que a coleta de dados foi realizada por meio de informações fornecidas pelas equipes de atendimento da EY que acompanham diretamente os bancos participantes, garantindo que as respostas refletissem a realidade prática e operacional dos programas SOX, e não apenas a percepção declarativa dos gestores.
A estrutura da pesquisa foi desenhada para capturar informações técnicas específicas, abrangendo cinco grandes áreas: configuração do programa SOX e sua governança, estatísticas sobre os controles-chave implementados, incidência e natureza das deficiências de controle, inovações e uso de tecnologias emergentes no ambiente SOX, e evolução da integração de aspectos de sustentabilidade e ESG nos frameworks de controle, que vou tentar falar melhor abaixo.
Principais Tendências e Insights sobre Avaliação de Riscos e Benchmarking
Um dos pontos analisados na pesquisa foi para começar a evolução dos procedimentos de avaliação de riscos com esta visão sobre os programas SOX dos grandes bancos, considerando o recente aumento de ênfase dado pela SEC e pelo PCAOB à qualidade dessa etapa.
Sabemos bem de que a avaliação de risco constitui a espinha dorsal de um programa de conformidade de SOX robusto, pois é a partir dela que se definem os processos e controles que serão considerados relevantes, o escopo das atividades de teste e o foco das atenções de auditoria, assim até porque dessa forma as eventuais falhas ou superficialidades nesta etapa comprometem diretamente a efetividade geral da estrutura de controles internos.
Os resultados da pesquisa mostraram que, apesar das recentes manifestações da SEC reforçando a necessidade de avaliações de risco mais dinâmicas e abrangentes, a maioria dos bancos ainda não relatou mudanças substanciais em seus processos, o que sugere um certo conservadorismo na abordagem de muitos bancos, possivelmente confiando na robustez de frameworks já estabelecidos. Mas uma parcela relevante dos participantes já começou ao menos a incorporar práticas evolutivas, alinhadas às expectativas regulatórias mais recentes e às mudanças no ambiente de riscos.
Entre as práticas mais avançadas que o estudo destaca estão com razão:
Colaboração ampliada entre áreas de riscos e equipe SOX: Algumas instituições começaram a integrar de maneira mais formal as funções de risco operacional, compliance e gestão de riscos não financeiros ao processo de avaliação de riscos do reporte financeiro, e eu acredito de que esse movimento é sim bem importante para garantir que os riscos emergentes, antes tradicionalmente fora do radar da função financeira, sejam adequadamente considerados na definição dos controles críticos para o reporte.
Incorporação de riscos emergentes, incluindo sustentabilidade e transformação organizacional: Embora historicamente a avaliação de riscos SOX focasse quase exclusivamente em riscos financeiros tradicionais, como principalmente a fraude contábil, o erro material nas demonstrações financeiras ou uma falha de reconciliação, os bancos mais avançados passaram a incluir novos fatores de risco. A transformação digital, com a introdução de novas plataformas de TI, e as pressões por reporte de sustentabilidade (ESG) começaram a ser consideradas explicitamente como fontes potenciais de risco para a confiabilidade da informação financeira.
Reforço na avaliação de controles de nível organizacional: A avaliação crítica da suficiência e da eficácia das linhas de negócio ou subsidiárias, especialmente no que tange à governança corporativa, cultura de compliance, e eficácia do Conselho de Administração e dos Comitês de Auditoria, foi reforçada por alguns bancos, o que é particularmente importante para endereçar riscos difusos e sistêmicos, que podem não ser capturados apenas através da análise de processos individuais.
Outro aspecto importante investigado foi a consideração formal dos impactos de não-conformidades legais e regulatórias na estrutura de controles internos. Os resultados indicaram que todos os bancos norte-americanos participantes realizam revisões formais para avaliar como violações legais potenciais poderiam impactar a efetividade dos controles relevantes para o reporte financeiro. Essa prática se dá na maioria das vezes no âmbito de controles sobre litígios, compliance corporativo ou avaliações trimestrais de contingências, resultando na atualização do inventário de riscos de reporte financeiro sempre que identificados novos riscos relevantes.
Além disto a pesquisa também ainda analisou a resposta dos bancos ao aumento de atenção da SEC sobre a qualidade das demonstrações de fluxo de caixa, particularmente sobre a adequada classificação e apresentação de fluxos operacionais, de investimento e de financiamento. Em resposta a este foco cerca de 59% dos bancos reportaram ter reavaliado os riscos e controles aplicáveis especificamente ao processo de elaboração da demonstração de fluxo de caixa, o que demonstra uma vigilância regulatória eficaz e a capacidade de resposta das instituições em ajustar seus frameworks conforme as prioridades emergentes do regulador.
No tocante às práticas de benchmarking de controles automatizados de TI a pesquisa mostrou um crescimento relevante no uso dessa estratégia, pois enquanto em 2022 apenas dois bancos reportaram a utilização de benchmarking, em 2023 o número subiu para seis. O benchmarking consiste na validação formal de que um controle automatizado específico permaneceu inalterado desde o último teste, permitindo que a instituição se apoie nos resultados anteriores por até três anos, desde que evidências robustas de não-alteração sejam mantidas.
Mas para adotar essa abordagem, as instituições precisam comprovar que a configuração do sistema permanece inalterada desde o teste inicial, e que não houve alterações na lógica de programação, no ambiente operacional ou no contexto de negócio que possam impactar a efetividade do controle, e ter logs de alteração, trilhas de auditoria e evidências documentais de governança de mudanças sejam mantidos e revisados regularmente.
O benchmarking reduz significativamente o volume de trabalho de teste, gera eficiências operacionais e, consequentemente, reduz custos de conformidade. No entanto, seu uso exige maturidade de governança de TI, forte disciplina de gestão de mudanças e estreita comunicação com os auditores externos, pois o risco de confiar em evidências desatualizadas pode gerar exposições regulatórias relevantes.
A pesquisa ainda bem destacou a importância de práticas complementares como:
Rotatividade de testes de controles manuais ou dependentes de TI: Apesar de a maioria dos bancos ainda testar esses controles anualmente, alguns começaram a adotar práticas de teste rotativo, baseadas no nível de risco do processo. Processos classificados como "alto risco" continuam sendo testados anualmente, enquanto processos de risco médio ou baixo podem ser testados a cada dois ou três anos, de acordo com políticas internas e aceitação prévia dos auditores externos.
Formalização e documentação robusta das decisões de escopo: Em linha com as expectativas do PCAOB, houve um avanço no rigor da documentação das decisões de inclusão, exclusão ou alteração de processos e controles no escopo SOX anual.
Esses movimentos evidenciam uma busca gradual dos grandes bancos não apenas pela conformidade formal, mas por uma gestão de riscos mais inteligente, calibrada e integrada ao ambiente de riscos corporativos mais amplo.
Governança e Administração do Programa SOX
A pesquisa também mostrou de que a estrutura de governança e administração dos programas SOX nos grandes bancos vem evoluindo de maneira significativa, com foco crescente na centralização, especialização e accountability das funções responsáveis pela manutenção da estrutura de controles internos e pela execução das atividades de avaliação, monitoramento e reporte exigidas pela Lei Sarbanes-Oxley.
Sabemos de que esta governança adequada de um programa SOX é fundamental não apenas para garantir a conformidade regulatória, mas também para proteger a qualidade das informações financeiras divulgadas e fortalecer a confiança dos stakeholders, incluindo acionistas, analistas, clientes e reguladores.
No que tange a responsabilidade pela administração do framework SOX e manutenção do inventário de controles, o que se percebeu na pesquisa foi de que a maioria dos bancos participantes opta por centralizar essas atividades no denominado grupo SOX localizado na segunda linha de defesa, o que se mostrou mais efeitiva com uma menor incidência de deficiências de controle, o que sugere que a especialização, a padronização de metodologias e a independência operacional do grupo SOX agregam valor na consistência e efetividade dos programas. A administração dispersa do inventário de controles, por diferentes áreas de negócio ou pela auditoria interna, foi menos frequente, e, quando existente associada a um maior volume de deficiências reportadas.
Essa centralização não apenas facilita a padronização de procedimentos de avaliação, testes e reporte, como também clarifica as responsabilidades, minimizando zonas cinzentas de accountability e evitando lacunas de monitoramento, que historicamente são fontes comuns de falhas de controle. Ademais, a centralização promove a eficiência na comunicação com auditores externos, regula a documentação de evidências de testes e facilita a implementação de melhorias contínuas no programa.
No que se refere a responsabilidade pela execução da avaliação de riscos financeiros, a pesquisa identificou um panorama mais fragmentado. Embora seja considerado uma melhor prática que o grupo SOX tenha participação ativa nessa avaliação, até dadas suas competências específicas em mapeamento de riscos e controles financeiros, que em muitos casos a avaliação é liderada pelas áreas de finanças, contabilidade ou riscos não financeiros. Essa fragmentação pode gerar riscos caso os profissionais envolvidos não possuam familiaridade adequada com os requisitos de avaliação de risco sob a ótica da SOX, como a necessidade de vincular riscos a potenciais distorções relevantes nas demonstrações financeiras e de assegurar a cobertura de riscos de sistemas, processos e fatores externos (como risco regulatório ou de sustentabilidade).
A pesquisa mostrou de que nos casos em que a função SOX não lidera o processo de avaliação de riscos financeiros, é altamente recomendável que ao menos exista uma participação formal de profissionais SOX, como consultores internos, na definição, revisão e validação dos riscos identificados e dos controles propostos como mitigadores. A ausência desse envolvimento especializado compromete a eficácia dos controles e pode expor a instituição a conclusões equivocadas sobre a suficiência do ambiente de controle interno.
Outro aspecto investigado foi a frequência com que os bancos atualizam o escopo do programa SOX, aonde a maioria dos bancos realiza essa atualização anualmente (47%), prática alinhada às melhores práticas recomendadas pela SEC e pelo PCAOB. Sendo que essa revisão anual é essencial para refletir mudanças no ambiente de riscos da instituição, como aquisições, desinvestimentos, lançamento de novos produtos, reestruturações organizacionais, mudanças em sistemas de TI ou alterações relevantes no ambiente regulatório. Cerca de 41% dos bancos relataram realizar revisões semestrais, o que pode oferecer maior agilidade na resposta a mudanças emergentes, especialmente em contextos de transformação organizacional acelerada ou em bancos com intensa dinâmica de negócios. Já 12% dos participantes reportaram revisões trimestrais, uma prática considerada de alta maturidade, mas operacionalmente mais exigente em termos de recursos e disciplina de governança.
A pesquisa também examinou a frequência de realização de walkthroughs, que são as atividades de revisão detalhada dos processos e controles relevantes para o reporte financeiro, realizadas com os donos de processos e controles. Neste ponto que se viu foi de que 82% dos bancos realizam walkthroughs anualmente, prática fundamental para garantir que o entendimento formal dos processos esteja atualizado, que mudanças relevantes sejam capturadas tempestivamente, e que eventuais riscos novos ou mudanças em controles sejam devidamente endereçados. A ausência de walkthroughs regulares foi associada à maior incidência de deficiências significativas, o que reforça a necessidade de institucionalizar essa prática como um pilar central da manutenção do programa SOX.
Em relação a documentação dos processos relevantes para SOX, a pesquisa constatou que mais da metade dos bancos utiliza uma combinação de fluxogramas e narrativas descritivas, aonde essa prática é altamente recomendada, pois os fluxogramas oferecem uma visão visual do fluxo ponta a ponta das transações, evidenciam pontos de controle, interfaces entre áreas e dependências de sistemas, enquanto as narrativas detalham a lógica operacional dos processos. A combinação dos dois formatos facilita a identificação de riscos de forma holística e melhora a qualidade das avaliações de design de controles.
No tocante a atribuição de responsabilidade pela testagem dos controles, o estudo mostrou que os controles de negócios são testados predominantemente pela função SOX (segunda linha) e pela auditoria interna (terceira linha), com crescimento da prática de dividir a responsabilidade de testes com terceiros especializados. Já os controles gerais de TI e os controles automatizados de TI também são testados majoritariamente pelas funções SOX e auditoria interna, refletindo a especialização necessária para avaliação adequada de controles tecnológicos.
O fortalecimento da separação clara de funções entre aqueles que operam controles (primeira linha), aqueles que monitoram e testam (segunda linha) e aqueles que auditam de forma independente (terceira linha) é considerado uma prática fundamental para assegurar a objetividade, a integridade e a credibilidade dos programas SOX.
Outro ponto importante abordado foi o treinamento dos donos de controle e testadores, em que a pesquisa indicou que 94% dos bancos realizam treinamentos ao menos anuais para testadores, e 88% também treinam os donos de controles, reforçando o conhecimento sobre expectativas de execução, documentação de evidências e resposta a não conformidades. A educação contínua é crítica, especialmente em um ambiente regulatório e tecnológico em constante evolução, para garantir a qualidade e a consistência na execução dos controles.
A pesquisa também olhou para as práticas de benchmarking e testes rotativos de controles, aonde um número crescente de bancos que implementam benchmarking de controles automatizados sinaliza uma tendência de busca por maior eficiência, desde que fundamentada em evidências robustas de integridade dos sistemas. Já os testes rotativos de controles manuais ou dependentes de TI são utilizados por uma minoria dos bancos, com cuidados específicos para garantir que processos de alto risco não sejam elegíveis para essa prática.
Deu para ver pelos resultados de que esta governança e a administração do programa SOX nos grandes bancos vêm se sofisticando progressivamente, com maior centralização, especialização técnica e integração com funções de risco e compliance, refletindo um esforço contínuo de fortalecer a confiança dos stakeholders e de atender às expectativas cada vez mais rigorosas dos reguladores.
Estatísticas de Controles e Deficiências Identificadas
O levantamento de estatísticas sobre o perfil e a qualidade dos controles internos nos grandes bancos participantes da pesquisa oferece algumas conclusões muito relevantes sobre o grau de maturidade, os desafios operacionais e os focos de atenção crítica na gestão dos programas SOX. A quantidade e o tipo de controles-chave identificados, o volume e a natureza das deficiências reportadas, bem como as práticas de remediação e análise de compensação de riscos, refletem diretamente a robustez dos frameworks implementados e a capacidade das instituições de manter a confiabilidade e a integridade das suas informações financeiras.
No que se refere ao número de controles-chave identificados, a pesquisa mostrou uma tendência clara de tentativa de redução do volume de controles manuais, ainda que, em termos absolutos, o número permaneça elevado. A análise segmentou os bancos conforme o tamanho de seus ativos, por exemplo os bancos com ativos inferiores a US$ 500 bilhões apresentaram uma mediana de 91 controles manuais, enquanto que os bancos com ativos entre US$ 500 bilhões e US$ 1 trilhão reportaram uma mediana de 257 controles manuais, e por fim os bancos com ativos superiores a US$ 1 trilhão reportaram a impressionante mediana de 904 controles manuais.
Esses números mostram de que embora exista um movimento declarado de maior automação dos ambientes de controle, a dependência de controles manuais ainda é significativa. Controles manuais, por natureza são mais suscetíveis a falhas de execução, inconsistências de documentação e riscos de erro humano, exigindo esforços contínuos de fortalecimento de disciplina operacional, treinamento e supervisão.
Já o número de controles dependentes de TI e de controles automatizados de TI variou conforme o grau de centralização dos ambientes de TI de cada instituição. Bancos com ambientes mais fragmentados ou legados de sistemas múltiplos tendem a apresentar maior números, enquanto aqueles que investiram em consolidação de plataformas tecnológicas reportaram ambientes mais controlados e organizados.
Outro dado relevante foi o comportamento do número de aplicações relevantes para SOX. Para 71% dos bancos participantes, o número de aplicações críticas aumentou em relação ao ano anterior, refletindo a expansão dos sistemas utilizados para suporte ao reporte financeiro e operações contábeis. Essa tendência impõe desafios adicionais de governança tecnológica, pois exige a avaliação contínua dos riscos de cada aplicação e a manutenção de controles efetivos sobre interfaces, integrações e qualidade dos dados.
A correlação observada entre o número de aplicações e o tamanho dos ativos foi mais consistente em bancos com menos de US$ 1 trilhão, enquanto para os bancos muito grandes houve maior volatilidade, associada a estratégias diversas de transformação tecnológica, com alguns bancos consolidando e reduzindo aplicações, enquanto outros, ainda com legados extensos, convivem com centenas de aplicações críticas.
Em termos de relacionamento com terceiros a pesquisa mapeou o número de provedores de serviços terceirizados relevantes para SOX. Diferentemente das aplicações, a correlação entre número de fornecedores críticos e tamanho de ativos não foi tão forte, sugerindo que a gestão de terceiros no contexto de controles internos depende mais da estratégia de terceirização de cada instituição do que apenas do seu porte absoluto.
Quando não há disponibilidade de relatórios SOC 1 tipo II por parte dos fornecedores, os bancos reportaram práticas de resposta como a avaliação de riscos focada nos serviços impactados, a identificação e implementação de controles compensatórios internos, com a execução de procedimentos alternativos, como auditorias específicas ou testes adicionais, e a internalização de controles críticos, especialmente para serviços de TI essenciais, aonde essas práticas evidenciam a crescente maturidade na gestão dos riscos associados a terceiros no contexto de conformidade SOX.
No tocante à incidência de deficiências de controle, a pesquisa apontou que a taxa média de controles deficientes permaneceu estável entre 5% e 6% dos controles testados, comparando os resultados de 2022 e 2023. Essa estabilidade sugere que, apesar da crescente complexidade operacional e tecnológica, os programas SOX vêm conseguindo manter níveis razoáveis de qualidade e efetividade.
Quando analisadas em termos qualitativos, as deficiências apresentaram um perfil bastante característico em que a deficiências de operação predominaram de forma esmagadora em relação às deficiências de desenho. Aproximadamente 59% das deficiências estavam relacionadas a falhas na execução dos controles, 18% a falhas de desenho, e 23% envolveram ambos os aspectos.
Esse padrão confirma de que em geral o desenho formal dos controles, isto é a estrutura lógica e o posicionamento dos controles nos processos é adequado, mas a disciplina e consistência na execução diária ainda apresentam vulnerabilidades importantes.
Entre os temas de deficiência mais recorrentes estão por exemplo:
Deficiências em Controles Gerais de TI: Especialmente na gestão de acessos, segregação de funções, gestão de mudanças em sistemas e controle de segurança lógica. Todos os bancos norte-americanos e 80% dos emissores estrangeiros reportaram deficiências nesta área, refletindo a dificuldade crônica do setor financeiro em manter ambientes de TI plenamente controlados, particularmente em ecossistemas de sistemas legados e integrações complexas.
Deficiências em informações produzidas pela entidade: Falhas na validação da integridade e precisão de informações utilizadas em controles financeiros, como relatórios, planilhas e extratos de sistemas.
Falta de precisão no desenho ou execução de controles manuais, principalmente revisões financeiras e aprovações baseadas em julgamento.
Insuficiência de documentação de revisões ou aprovações de controles críticos, dificultando a comprovação de sua efetividade para fins de auditoria.
Deficiências na avaliação e monitoramento de relatórios SOC: Deficiências na avaliação de controles de terceiros, destacando a importância de gestão ativa de fornecedores críticos.
Além disso a pesquisa ainda indicou que o número de deficiências significativas abertas e não remediadas como porcentagem do total de participantes diminuiu ligeiramente, sinalizando uma tendência positiva. A maioria dos bancos reportou zero deficiências significativas pendentes no último ciclo de reporte, com poucos casos isolados de instituições com uma ou mais SDs não remediadas. Em termos temáticos, as SDs mais comuns continuaram sendo relacionadas a TI, e a aplicação de IFRS 9 (especialmente governança de dados e provisões sobre imóveis comerciais) e nas reconciliações financeiras críticas.
A respeito do tempo médio de remediação das deficiências, o que se viu foi um alongamento: em 2023, 47% dos bancos reportaram levar mais de um ano para concluir a remediação, contra percentuais menores em anos anteriores. Esse fenômeno é explicado pela maior complexidade das deficiências detectadas (sobretudo aquelas relacionadas a TI) e pela necessidade de envolver múltiplas áreas na correção estruturada das causas-raiz.
Quanto a análise de compensação de riscos e agregação de deficiências, 100% dos bancos afirmaram realizar análise de controles compensatórios quando deficiências são detectadas, e a maioria também realiza análise de causas-raiz para orientar ações corretivas mais eficazes. Na avaliação de agregação de deficiências, os critérios mais utilizados foram: impacto em linhas do balanço patrimonial e da demonstração de resultados, princípios COSO impactados, e tema comum da deficiência.
Esse rigor na avaliação de compensação de riscos e agregação de deficiências reflete uma prática madura de gestão de riscos, voltada para assegurar que deficiências não tratadas de forma isolada venham a se acumular e configurar riscos materiais não detectados.
Inovação, Automação e Uso de Tecnologias Emergentes nos Programas SOX
Em um cenário de crescente pressão por eficiência, confiabilidade e agilidade, a inovação e o uso de tecnologias emergentes passaram a desempenhar um papel cada vez mais importante nos programas SOX dos grandes bancos. A pesquisa revelou que, embora exista uma tendência crescente de utilização de automação, data analytics e novas ferramentas tecnológicas para apoiar as atividades de avaliação e teste de controles, ainda estamos diante de uma jornada em construção, com níveis variados de maturidade entre as instituições.
De forma geral a adoção de tecnologias emergentes no contexto dos programas SOX foi classificada como "moderada" pela maioria dos participantes. Em 2023, cerca de 70% dos bancos declararam usar tecnologias emergentes “às vezes” no processo de avaliação SOX, enquanto apenas 12% indicaram uso frequente e 18% reportaram não utilizar essas ferramentas em suas atividades de compliance. Comparativamente, houve uma melhora em relação a anos anteriores: em 2021, 60% dos bancos ainda não utilizavam tecnologias emergentes no ambiente SOX, evidenciando um movimento de modernização, embora ainda gradual.
As tecnologias mais citadas na pesquisa foram:
Automação Robótica de Processos (RPA): utilizada para automatizar tarefas repetitivas relacionadas à coleta de evidências, execução de testes de controles e preparação de documentações de suporte. A RPA permite reduzir erros manuais, padronizar atividades e liberar recursos humanos para tarefas de maior valor agregado.
Plataformas de Data Analytics e Visualização de Dados: empregadas para apoiar a análise de populações de dados, identificar anomalias em transações e validar a efetividade de controles baseados em dados. A capacidade de testar populações inteiras em vez de apenas amostras é vista como uma grande vantagem para aumentar a robustez das conclusões de auditoria interna e externa.
Ferramentas de extração, transformação e carregamento de dados (ETL): utilizadas para organizar e preparar grandes volumes de dados provenientes de diferentes sistemas, facilitando a execução de testes analíticos e a geração de relatórios de exceções.
O uso dessas tecnologias concentrou-se em cinco áreas principais no contexto SOX:
Visualização de resultados: automatizando a geração de dashboards e painéis de controle para acompanhamento da execução de controles, status de testes e identificação de áreas de maior risco.
Definição de escopo de controles: usando analytics para priorizar processos e áreas de maior exposição a riscos financeiros.
Avaliação de riscos: incorporando modelagem de dados para identificar padrões e tendências que possam indicar riscos emergentes no ambiente de controle.
Execução de testes de controles: automatizando a coleta e comparação de evidências, aumentando a cobertura de testes e reduzindo o viés de amostragem.
Performance operacional de controles-chave: monitorando em tempo real indicadores críticos de performance de controles automatizados.
Apesar do avanço no uso de tecnologia, a pesquisa revelou que apenas 53% dos bancos possuem políticas formais para regular o uso dessas ferramentas no ambiente SOX. Isso representa uma evolução em relação ao ano anterior (47%), mas ainda evidencia um risco relevante: sem políticas claras, o uso de tecnologias emergentes pode criar novos riscos de compliance, como a utilização de dados inconsistentes, falta de validação de integridade dos outputs das ferramentas ou vulnerabilidades relacionadas à segurança da informação.
As melhores práticas observadas entre os bancos mais maduros incluem desde a inclusão de critérios específicos sobre uso de tecnologias emergentes nas políticas e procedimentos SOX existentes, assim como a criação de políticas dedicadas abordando o uso de Excel, RPA e outros, com requisitos para validação, versionamento, controle de mudanças e documentação de evidências, e também a exigência de revisão e aprovação formal dos fluxos automatizados, com envolvimento das áreas de TI e compliance, antes de sua utilização em testes ou monitoramentos de controles.
No que tange ao uso de Inteligência Artificial (IA) no ambiente SOX, a pesquisa constatou que, até o momento, não há bancos utilizando efetivamente IA para suportar atividades de avaliação de controles internos sobre reporte financeiro. Aproximadamente 35% dos bancos estão explorando casos de uso potenciais para IA, enquanto 65% declararam que não têm planos atuais de implementação. Entre as áreas potenciais de aplicação de IA consideradas estão a:
Análise preditiva de riscos: utilizando algoritmos para antecipar áreas de maior propensão a falhas de controle com base em padrões históricos de dados.
Detecção de anomalias: aplicando machine learning para identificar transações ou comportamentos fora dos padrões esperados que possam indicar falhas de controle ou riscos de fraude.
Assistência no scoping e priorização de processos: usando IA para automatizar a definição do escopo dos controles mais críticos a serem testados em cada ciclo.
Embora promissoras, essas aplicações ainda enfrentam barreiras de adoção, como a necessidade de maturidade tecnológica das organizações, governança robusta dos modelos de IA, transparência e interpretabilidade dos resultados (explicabilidade dos algoritmos) e, sobretudo, o ceticismo dos auditores externos e dos reguladores em aceitar evidências geradas por IA sem supervisão humana estruturada. Alguns exemplos práticos de inovação relatados na pesquisa incluem:
Automação da avaliação de risco de TI para controles gerais, permitindo maior precisão na classificação de sistemas críticos e na priorização de testes.
Desenvolvimento de metodologias automatizadas de avaliação das informações produzidas pela entidade, fortalecendo a confiabilidade dos dados utilizados em controles críticos.
Aplicação de análises de dados para detecção de exceções em reconciliações de balanço patrimonial e segregação de funções, aumentando a capacidade de detectar erros ou violações de políticas em larga escala.
Importante destacar que, embora o uso de tecnologias emergentes traga ganhos de eficiência e qualidade, sua incorporação no ambiente SOX exige uma abordagem estruturada de gestão de mudanças, validação de confiabilidade, treinamento dos usuários e monitoramento contínuo para assegurar que novos riscos introduzidos sejam adequadamente mitigados.
Todo este movimento de inovação observado na pesquisa representa uma oportunidade estratégica para os bancos modernizarem seus programas SOX, reduzirem custos, aumentarem a precisão dos testes e se prepararem para um ambiente de fiscalização mais rigoroso e tecnológico nos próximos anos. Mas como sempre a velocidade de adoção ainda é moderada, refletindo a prudência necessária para equilibrar inovação com robustez de governança e confiabilidade regulatória.
Integração de Controles de Sustentabilidade (ESG) aos Programas SOX
Um dos temas mais recentes porém críticos analisados na pesquisa foi o grau de maturidade dos grandes bancos na integração dos controles de sustentabilidade (ESG) as suas estruturas de controles internos tradicionais, em especial àquelas abrangidas pelos programas SOX.
Até mesmo pela crescente pressão regulatória, social e dos investidores por divulgação confiável de informações não financeiras, especialmente relacionadas a riscos climáticos e de sustentabilidade, está forçando uma transformação profunda na arquitetura dos sistemas de governança, risco e compliance corporativo. No entanto a pesquisa revelou que esta integração ainda é incipiente na maioria dos bancos, abrindo tanto oportunidades como riscos estratégicos relevantes.
Primeiramente, a pesquisa identificou que todos os bancos participantes já publicam relatórios de sustentabilidade de alguma forma. Isso denota um reconhecimento generalizado da importância da agenda ESG, mas ainda há uma grande diversidade de práticas no que se refere a responsabilidade pela governança dos controles de sustentabilidade:
Em muitos bancos, a responsabilidade foi atribuída a departamentos dedicados de sustentabilidade, separados das funções financeiras tradicionais, mas em outros casos, a governança de controles ESG permanece alocada à primeira linha de defesa, ou seja, dentro das áreas de negócio e finanças operacionais, e ainda em apenas uma minoria, a gestão dos controles de sustentabilidade foi parcialmente integrada ao próprio grupo SOX ou às estruturas de risco e compliance corporativo.
Essa fragmentação reflete o estágio ainda inicial de maturidade na construção de frameworks ESG integrados aos controles internos clássicos. Embora seja legítimo que especialistas de sustentabilidade liderem o conteúdo técnico das divulgações ESG, a ausência de envolvimento estruturado de profissionais especializados em controles internos, como aqueles do grupo SOX, pode comprometer a confiabilidade, a auditabilidade e a robustez das informações reportadas.
As melhores práticas internacionais começam a recomendar que profissionais de SOX e de controles internos participem ativamente da construção dos frameworks de controle ESG, particularmente no que tange ao desenho de controles sobre a coleta, agregação e reporte de dados ESG, as avaliação de integridade e completude dos dados utilizados nas divulgações, e a definição de critérios de documentação e evidência de execução dos controles ESG, assegurando sua auditabilidade.
No tocante ao programas SOX, a pesquisa revelou que apenas quatro dos dezessete bancos passaram a considerar formalmente riscos de sustentabilidade durante a definição dos processos e controles críticos a serem avaliados. Esse número, embora superior ao de anos anteriores, ainda é baixo, sugerindo que a maioria dos bancos não incorporou de forma sistemática os riscos ESG ao seu arcabouço de avaliação de riscos de reporte financeiro.
Neste sentido também apenas quatro bancos reportaram ter reconhecido controles de nível organizacional específicos para riscos de sustentabilidade, o que indica que a maioria das instituições ainda não formalizou a responsabilidade corporativa sobre governança ESG em seu sistema de controles internos de maneira integrada com as estruturas tradicionais de compliance e reporte financeiro.
Quando questionados sobre a existência de deficiências identificadas no framework de controles de sustentabilidade, novamente apenas quatro bancos afirmaram ter identificado e documentado deficiências até o momento. Esta baixa taxa pode refletir tanto a imaturidade dos frameworks quanto a falta de processos de avaliação formalizados e críticos para os novos ambientes de controle ESG.
A pesquisa ainda investigou os esforços concretos já realizados para a construção de sistemas de controles para reporte de sustentabilidade e seus desdobramentos:
47% dos bancos realizaram avaliações de risco relacionadas a ESG, mapeando as principais áreas de exposição e pontos críticos de controle.
41% implementaram processos e controles específicos para reporte de sustentabilidade, como validação de dados climáticos, rastreabilidade de métricas de carbono, e confirmação de limites de emissões.
35% desenvolveram metodologias de controle específicas para ESG, buscando garantir a confiabilidade das informações divulgadas, com base em princípios de controle internos semelhantes aos exigidos pela SOX para dados financeiros.
35% realizaram avaliações de gaps de controle (control gap assessments), identificando lacunas entre os requisitos regulatórios, as expectativas dos stakeholders e a realidade dos processos internos.
Apenas 29% desenharam modelos operacionais de sustentabilidade formalizados e ativaram estratégias corporativas específicas para controle e governança de riscos ESG.
Esses resultados demonstram que, embora exista um movimento visível de amadurecimento, ainda há uma grande distância a ser percorrida para que o reporte de sustentabilidade atinja o mesmo nível de rigor, confiabilidade e auditabilidade exigido para os reportes financeiros tradicionais sob a SOX.
Um fator que deve acelerar essa transição é a adoção, em março de 2024, da nova regra final da SEC sobre divulgação de riscos climáticos, que obriga as empresas públicas a relatar os riscos materiais relacionados ao clima, e os processos de governança para gerenciamento desses riscos, assim com o impacto efetivo e potencial dos riscos climáticos sobre o modelo de negócios, estratégia e planejamento financeiro.
Essa nova regulamentação exigirá que os bancos aprimorem significativamente suas estruturas de coleta e reporte de dados ESG, sob pena de sanções regulatórias, questionamentos de investidores e riscos reputacionais.
Em discussões com os participantes da pesquisa, a gestão de dados surgiu como o principal desafio para os programas de sustentabilidade, como a origem, qualidade, consistência e auditabilidade dos dados ESG são ainda muito mais frágeis do que os dados financeiros tradicionais, exigindo investimentos em governança de dados, sistemas de TI, processos de controle e capacitação de profissionais.
A pesquisa mostrou de que a integração de controles ESG aos programas SOX ainda está em uma fase incipiente, mas evolutiva. Os bancos que conseguirem integrar precocemente suas estruturas de controles internos tradicionais com as novas exigências de sustentabilidade estarão mais bem posicionados para garantir a confiabilidade de seus reportes, atender às expectativas regulatórias e de mercado e fortalecer sua governança corporativa frente a um ambiente de risco em transformação rápida.
Acho que deu para ter uma visão profunda e crítica sobre o estágio atual, os avanços, os desafios persistentes e as tendências emergentes na gestão dos programas de conformidade com a Lei Sarbanes-Oxley nos grandes bancos globais, aonde de forma geral os resultados evidenciam que os programas SOX nessas instituições vêm evoluindo de maneira consistente em direção à maior centralização, especialização e profissionalização, refletindo a crescente sofisticação dos requisitos regulatórios, a complexificação dos ambientes tecnológicos e a ampliação das expectativas dos stakeholders quanto à integridade e transparência das informações corporativas.
Entre os avanços mais notáveis, podemos lembrar da consolidação da governança dos programas SOX na segunda linha de defesa, promovendo maior consistência metodológica, responsabilidade clara e capacidade de coordenação das atividades de controle interno, ou ainda da especialização das funções SOX, combinada com a realização sistemática de walkthroughs, manutenção de documentação robusta de processos e a ampliação da cobertura de testes, tem contribuído para a sustentação de taxas estáveis e controladas de deficiências de controle. Como tendência crescente vimos a adoção de benchmarking de controles automatizados de TI, ainda que em estágio inicial, representa uma estratégia inteligente para ganho de eficiência operacional e redução de custos de compliance, especialmente em ambientes complexos e altamente regulados como o bancário.
Por outro lado a pesquisa também mostrou áreas críticas que exigem atenção estratégica imediata, sendo que a primeira delas é a persistência de um número elevado de controles manuais no mix de controles, o que aumenta a vulnerabilidade operacional e a exposição a erros humanos. Embora haja um movimento em direção à automação, ele ainda é insuficiente frente à complexidade dos processos bancários modernos. A segunda área de alerta é a fragilidade estrutural dos Controles Gerais de TI que continuam sendo a principal fonte de deficiências de controle, principalmente em aspectos de gestão de acessos, segregação de funções e governança de mudanças em sistemas críticos. Esses riscos tecnológicos têm impacto transversal sobre o ambiente de controles internos, afetando a confiabilidade das informações financeiras e a exposição a riscos de cibersegurança.
Outro ponto de preocupação é a baixa integração dos riscos e controles de sustentabilidade (ESG) nos frameworks SOX. Apesar do avanço na implementação de processos de reporte de sustentabilidade, a integração formal de riscos ESG no scoping de riscos financeiros e o reconhecimento de controles específicos para informações não financeiras ainda são incipientes. Essa lacuna se torna ainda mais crítica diante da nova regulamentação da SEC para divulgação de riscos climáticos, que demandará dos bancos a capacidade de assegurar, de forma documentada e auditável, a confiabilidade das informações ESG divulgadas. A governança de dados ESG, em particular, emerge como um desafio de primeira ordem que exigirá investimentos em infraestrutura tecnológica, capacitação de pessoas e fortalecimento dos processos de controle.
No tocante à inovação tecnológica nos programas SOX, a pesquisa revela um movimento de adoção ainda moderado. Embora mais de 80% dos bancos já utilizem tecnologias emergentes como RPA, data analytics e ferramentas de visualização de dados em alguma medida, a ausência de políticas formais robustas para governança desses instrumentos ainda representa um risco relevante. O uso de Inteligência Artificial para suporte às atividades SOX ainda está em fase exploratória, o que é compreensível dadas as exigências de auditabilidade, explicabilidade e confiança regulatória que essa tecnologia impõe. Os bancos mais avançados são aqueles que estão incorporando tecnologias de forma gradual, mas estruturada, garantindo validações independentes, documentação adequada e supervisão contínua dos resultados gerados.
Diante desse panorama algumas implicações práticas se tornam evidentes para os diferentes níveis de governança das instituições, de dicas tais como:
Conselhos de Administração e Comitês de Auditoria: devem reforçar sua supervisão ativa sobre os programas SOX, exigindo não apenas relatórios de conformidade, mas também análises críticas sobre a evolução dos riscos de controle interno, o progresso na automação de controles, os planos de ação para deficiências tecnológicas recorrentes (como ITGCs) e a integração dos riscos de sustentabilidade aos frameworks de reporte financeiro.
Chief Risk Officers (CROs): devem integrar de maneira mais estruturada a gestão de riscos financeiros e não financeiros, assegurando que riscos emergentes, como ESG, cibersegurança e riscos de transformação digital, sejam devidamente capturados nas matrizes de risco, avaliados quanto à sua materialidade para o reporte financeiro e vinculados a controles mitigatórios efetivos.
Chief Compliance Officers (CCOs): devem fortalecer a governança sobre terceiros críticos, particularmente no que se refere à obtenção e avaliação de relatórios SOC, e liderar a definição de políticas claras para uso de tecnologias emergentes no ambiente de compliance e controle interno.
Chief Information Officers (CIOs): e funções de tecnologia devem colaborar ativamente para fortalecer a governança de TI, priorizando investimentos em segurança lógica, gestão de acessos e governança de mudanças, áreas que continuam a ser fontes crônicas de vulnerabilidades nos programas SOX.
Além disso, todas essas funções devem trabalhar de forma coordenada para acelerar a migração de controles manuais para controles automatizados confiáveis, reduzindo a exposição a falhas de execução humana, assim como estabelecer políticas robustas de governança de dados, tanto para informações financeiras quanto para dados ESG, assegurando sua qualidade, integridade, rastreabilidade e auditabilidade, e também promover programas contínuos de capacitação e conscientização sobre controles internos, riscos emergentes e novas exigências regulatórias, fortalecendo a cultura de controle em toda a organização.
Para terminar acredito de que este do da EY mostra de que embora os programas SOX dos grandes bancos estejam robustos em muitos aspectos, a dinâmica regulatória, tecnológica e de expectativas sociais impõe uma necessidade constante de evolução. Aqueles bancos que conseguirem transformar seus programas SOX em plataformas integradas de gestão de riscos, automação inteligente e governança de sustentabilidade estarão mais bem preparados para liderar na próxima década, mantendo a confiança dos investidores, a solidez de sua reputação e a aderência plena às exigências dos reguladores globais.