Por muito tempo, o uso de tecnologias emergentes era visto como responsabilidade exclusiva da área de TI. Mas essa linha tênue está cada vez mais borrada. Hoje, Inteligência Artificial (IA) já não é apenas uma ferramenta para automatizar tarefas simples ela está sendo incorporada diretamente em processos de negócio críticos.
E o mais alarmante: muitas empresas estão fazendo isso sem qualquer estrutura formal de governança. O resultado? Um risco silencioso, crescente e altamente subestimado.
IA em Tudo, mas quem está no controle?
Vamos ser francos. A IA não é mais uma tendência é uma realidade. Empresas já devem estar usando IA, como por exemplo, tomando decisões em processos de concessão de crédito, previsão de demanda, gestão de estoques, pricing dinâmico, atendimento ao cliente, recrutamento, e até mesmo em auditoria interna. O problema não está em usar IA está em usá-la como se fosse uma “caixa preta”, sem entender completamente os critérios, os dados de entrada, ou os vieses embutidos em seu funcionamento.
Empresas que adotam IA sem um modelo de governança sólido estão criando uma nova camada de risco operacional, ético e até regulatório. A confiança que se tinha nos processos de negócio tradicionais testados, documentados e auditáveis já não se aplica automaticamente quando uma decisão é tomada por um modelo de machine learning treinado em dados que ninguém revisou.
Não Está em SOX Ainda. Mas Deveria Estar no Radar
Sim, isso é verdade.
A Lei Sarbanes-Oxley (SOX), criada em 2002 para reforçar a governança corporativa e a confiabilidade das informações financeiras, se aplica a toda empresa registrada na SEC ou seja, qualquer organização listada em bolsas americanas como a NYSE ou NASDAQ.
Apesar da sua importância, a SOX não faz nenhuma menção específica à Inteligência Artificial (IA). Nem quando trata de controles internos como na Seção 404 nem ao definir responsabilidades da administração ou dos auditores.
Mas isso não quer dizer que a IA esteja, na prática, fora do escopo da SOX. Se um sistema de IA é utilizado em processos que impactam diretamente as demonstrações financeiras ou os controles internos, ele precisa ser tratado com o mesmo rigor exigido pela lei mesmo que a legislação original não tenha previsto essa tecnologia.
Se um processo de negócio ou sistema impacta diretamente as demonstrações financeiras, e esse processo utiliza IA, então a governança e os controles desse uso passam a ser relevantes para a conformidade com SOX.
Exemplo:
Se uma empresa utiliza IA para automatizar parte do processo de reconciliação contábil, ou para classificar lançamentos financeiros, essa automação deve estar documentada, controlada, e auditável mesmo que a legislação original de SOX não mencione IA.
Ou seja:
SOX não trata IA diretamente, mas se IA impacta controles financeiros, ela passa a ser parte do escopo de avaliação de controles internos.
Mas como estamos ao redor do mundo com outras regulamentações?
EUA (PCAOB, SEC, COSO):
• A SEC e o PCAOB ainda não publicaram normas específicas sobre IA em auditoria ou controles financeiros.
Mas o PCAOB já demonstrou preocupações com o uso de tecnologias avançadas nas práticas de auditoria, especialmente sobre como os auditores validam a confiabilidade dos sistemas utilizados pelas empresas auditadas.
• O COSO (Committee of Sponsoring Organizations), responsável por um dos frameworks mais usados para avaliação de controles internos (usado em SOX), publicou em 2023 um guia conjunto com a Deloitte chamado “Realizing the Full Potential of AI”, que aborda como os princípios do COSO podem ser aplicados à IA.
Esse guia não é normativo, mas sinaliza que a integração da IA aos controles internos deve seguir os mesmos princípios básicos de governança, ética, confiabilidade, etc.
Europa (AI Act):
• A União Europeia aprovou em 2024 o AI Act, a primeira legislação ampla sobre IA no mundo.
Embora o foco seja mais em segurança, ética, privacidade e responsabilidade, o AI Act exige níveis diferenciados de governança conforme o risco do uso de IA, e sistemas usados em finanças ou em processos de decisão automatizada de alto impacto estão classificados como “alto risco”.
Isso pode ter efeitos indiretos em empresas multinacionais que operam na UE e usam IA em processos financeiros.
Normas Internacionais de Auditoria (IAASB):
• O IAASB (International Auditing and Assurance Standards Board) está desenvolvendo diretrizes para uso de tecnologia, incluindo IA, em auditoria. • Há debates avançados sobre como auditores devem abordar riscos oriundos de sistemas baseados em IA usados por clientes auditados.
Mas ainda não há uma norma específica com força regulatória sobre isso.
Governança de Inteligência Artificial: Urgente e Inegociável
É hora de entender que governança de IA não é um “nice to have”, é essencial. Isso envolve:
• Mapeamento de riscos específicos da IA: vieses algorítmicos, opacidade nos modelos, integridade dos dados de treino.
• Estabelecimento de accountability: quem responde por decisões automatizadas?
• Auditorias técnicas regulares nos modelos: entradas, lógica, resultados e impactos.
• Documentação e rastreabilidade: qualquer sistema que interfere em processos chave precisa ser explicável.
• Segregação de funções e validação cruzada, inclusive com envolvimento de áreas como compliance, jurídico e auditoria interna.
Confiança nos Processos Nunca Mais Será Como Antes
A confiança nos processos corporativos sempre foi baseada em três pilares: controle, previsibilidade e responsabilidade. A IA, sem governança, quebra todos os três. O modelo pode mudar sozinho (aprendizado contínuo), as decisões podem ser não intuitivas (opacidade algorítmica) e ninguém sabe direito quem responderia por um erro catastrófico (ausência de accountability).
A transformação digital exige que repensemos não só os processos, mas também os mecanismos de controle. A era da IA exige uma nova forma de confiança — baseada em transparência algorítmica, auditabilidade tecnológica e ética de dados. E isso precisa começar agora, antes que os danos sejam irreversíveis.
Ou Governamos a IA, ou Seremos Governados por Ela
A inovação é inevitável. Mas a responsabilidade é opcional e é justamente aí que mora o perigo. Usar IA sem governança é como entregar a direção do seu negócio para um motorista que não pode ser interrogado, nem sequer observado. Pode até funcionar por um tempo. Mas quando o acidente acontecer, será tarde demais para descobrir quem estava no volante.
As empresas que compreenderem isso primeiro, sairão na frente. As que ignorarem, terão uma lição cara talvez catastrófica.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
