Compliance & LGPD

Controles Internos e a SOX Brasileira: O que sua Empresa Precisa Saber

Compliance & LGPD 10 Out 2025 schedule 7 min de leitura

Os controles internos são a primeira linha de defesa de qualquer organização contra fraudes, erros e ineficiências operacionais. No Brasil, embora não exista uma réplica exata da norte-americana Sarbanes-Oxley Act (SOX), diversas normas regulatórias — especialmente da Comissão de Valores Mobiliários (CVM) e do Banco Central — estabelecem exigências equivalentes que configuram o que o mercado convencionou chamar de “SOX brasileira”.

A AUD</>PER atua na avaliação e no desenho de controles internos para empresas de diferentes portes, garantindo que suas estruturas de controle atendam às melhores práticas e às exigências regulatórias aplicáveis.

O que são controles internos

Controles internos são o conjunto de políticas, procedimentos e mecanismos estabelecidos pela administração para assegurar que os objetivos da organização sejam alcançados de forma eficiente e em conformidade com a legislação. Os principais objetivos dos controles internos incluem:

  • Confiabilidade das demonstrações financeiras: garantir que os registros contábeis reflitam fielmente a realidade econômica da empresa.
  • Eficiência e eficácia operacional: otimizar processos e reduzir desperdícios.
  • Conformidade legal: assegurar o cumprimento de leis, regulamentos e políticas internas.
  • Proteção de ativos: salvaguardar o patrimônio contra perdas, fraudes e uso não autorizado.

Controles internos não são sinônimo de burocracia. Quando bem desenhados, eles agilizam processos, reduzem riscos e conferem segurança à tomada de decisão.

O framework COSO como referência

O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é o framework mais utilizado mundialmente para estruturar controles internos. Ele organiza os controles em 5 componentes inter-relacionados:

  1. Ambiente de controle: a cultura organizacional, os valores éticos e o comprometimento da alta administração com a integridade.
  2. Avaliação de riscos: a identificação e análise dos riscos relevantes para o atingimento dos objetivos.
  3. Atividades de controle: as políticas e procedimentos que asseguram a execução das diretrizes de gestão (aprovações, autorizações, verificações, conciliações, segregação de funções).
  4. Informação e comunicação: a geração e o fluxo de informações relevantes, tempestivas e acessíveis.
  5. Monitoramento: a avaliação contínua da qualidade e efetividade dos controles ao longo do tempo.

Princípio fundamental

A segregação de funções é um dos controles mais importantes: quem autoriza uma transação não deve ser a mesma pessoa que a executa ou que a registra. Esse princípio, quando violado, está presente em mais de 60% dos casos de fraude corporativa.

A “SOX brasileira”: exigências regulatórias

Embora o Brasil não tenha uma lei única equivalente à SOX americana, diversas normas criam um arcabouço regulatório que impõe obrigações similares:

CVM — Companhias de capital aberto

A Instrução CVM nº 480/2009 e a Resolução CVM nº 80/2022 exigem que companhias abertas divulguem em seu Formulário de Referência informações sobre a estrutura de controles internos, incluindo deficiências identificadas pelo auditor independente. A administração deve declarar que revisou e aprovou as demonstrações financeiras e as opiniões expressas no relatório de auditoria.

Banco Central — Instituições financeiras

A Resolução CMN nº 4.968/2021 e normativos complementares exigem das instituições financeiras uma estrutura de controles internos proporcional à natureza, ao porte e à complexidade de suas operações. A auditoria interna deve ser independente e reportar diretamente ao conselho de administração ou órgão equivalente.

Lei das S.A. e governança

A Lei nº 6.404/1976 (Lei das Sociedades por Ações) estabelece deveres de diligência e lealdade dos administradores, que incluem a manutenção de controles internos adequados. A combinação com as normas de governança da B3 (Novo Mercado, Nível 2) reforça essas obrigações.

Controles internos na prática

Na experiência da AUD</>PER, os processos que demandam maior atenção em termos de controles internos são:

  • Ciclo de receitas: emissão de notas fiscais, reconhecimento de receita, gestão de crédito e cobrança.
  • Ciclo de compras e pagamentos: cotações, aprovações de compra, recebimento de mercadorias, conciliação de faturas e liberação de pagamentos.
  • Folha de pagamento: admissões, alterações salariais, cálculo de benefícios e encargos.
  • Gestão de estoques: contagem física, movimentações, obsolescência e valorização.
  • Tesouraria: conciliações bancárias, aplicações financeiras, controle de fluxo de caixa.
  • Tecnologia da informação: controles de acesso a sistemas, backups, logs de auditoria e segurança cibernética.

Caso prático

Em uma auditoria recente conduzida pela AUD</>PER, identificamos que a ausência de conciliação bancária diária em uma empresa de médio porte permitiu que desvios no valor de R$ 1,2 milhão passassem despercebidos por mais de seis meses. A implementação de controles automatizados resolveu o problema definitivamente.

Avaliando a maturidade dos controles

A avaliação da maturidade dos controles internos segue uma escala progressiva:

  1. Nível 1 — Inexistente: processos informais, sem documentação ou padronização.
  2. Nível 2 — Inicial: controles existem, mas dependem de iniciativas individuais.
  3. Nível 3 — Definido: processos documentados e padronizados, com responsáveis designados.
  4. Nível 4 — Gerenciado: controles monitorados com indicadores de desempenho.
  5. Nível 5 — Otimizado: melhoria contínua baseada em dados, com automação e inteligência artificial.

A maioria das empresas de médio porte no Brasil situa-se entre os níveis 2 e 3. O objetivo é evoluir progressivamente, priorizando os processos de maior risco.

O papel da auditoria interna e externa

A auditoria interna é a função responsável por avaliar continuamente a efetividade dos controles internos, reportando à alta administração e ao comitê de auditoria. Já a auditoria externa (independente) avalia os controles no contexto de sua opinião sobre as demonstrações financeiras, identificando deficiências significativas e fraquezas materiais que possam afetar a confiabilidade das informações contábeis.

Ambas as funções são complementares e indispensáveis. A auditoria interna atua de forma contínua e aprofundada, enquanto a auditoria externa confere uma visão independente e periódica.

Como a AUDÍPER pode ajudar

A AUD</>PER oferece serviços de avaliação, desenho e monitoramento de controles internos, utilizando o framework COSO como referência e ferramentas de inteligência artificial para análise de dados transacionais. Nosso trabalho abrange desde o diagnóstico de maturidade até a implementação de controles automatizados, passando pela capacitação das equipes internas.

Com 40 anos de atuação em auditoria independente, entendemos que controles internos sólidos são o alicerce da boa governança e da sustentabilidade empresarial. Entre em contato para uma avaliação dos controles internos da sua empresa.

Compartilhar:

Artigos Relacionados

Precisa de ajuda especializada?

Fale com nossos auditores e peritos para uma consultoria personalizada.

Falar pelo WhatsApp
A

Audina

• Assistente Virtual

Dúvidas sobre este assunto? Nossa assistente virtual pode ajudar com informações rápidas sobre nossos serviços.

chat Falar com Audina

Leia também

Compliance & LGPD
Programa de Compliance: Como Implementar em sua Empresa

Os pilares fundamentais para construir um programa de integridade que funciona na prática.

Ler artigo
Compliance & LGPD
Governança Corporativa: Boas Práticas para Empresas de Médio Porte

Como a governança corporativa pode transformar a gestão e agregar valor ao negócio.

Ler artigo
Compliance & LGPD
Auditoria de Compliance Anticorrupção: Lei 12.846 na Prática

A lei anticorrupção na prática e como a auditoria protege sua empresa.

Ler artigo