IA em Finanças:
Manual de Governança
para o CFO
Conformidade regulatória, auditores externos e Decision Layer
Conformidade regulatória, auditores externos e Decision Layer
IA no setor financeiro não é um projeto de TI. É um projeto de governança com componente tecnológico.
Quem define a partir de qual valor uma fatura é aprovada automaticamente? Quem estabelece os limites para alertas de fraude? Quem decide se um agente de IA pode processar lançamentos contábeis sem revisão humana?
A resposta não é o CIO. É o CFO.
Segundo a ISACA (2024), 73% das organizações não possuem um framework formal de governança de IA. No setor financeiro, isso significa: processos críticos como contas a pagar, fechamento mensal e detecção de fraudes operam sem estruturas de controle definidas.
O Institute of Finance & Management (2024) relata que 42% de todas as faturas em contas a pagar ainda são processadas manualmente. A onda de automação está chegando. A questão não é se, mas sob qual governança.
| Nível | Responsabilidade | Quem |
|---|---|---|
| Matriz de decisão | Define o que o agente pode fazer e o que permanece com o humano | Finanças + Jurídico |
| Audit Trail | Cada ação registrada, versionada, reproduzível | TI (técnico), Finanças (revisão) |
| Modelo de funções | Quem supervisiona, quem aprova, quem escala | Finanças |
| Interface com auditoria | Documentação para auditor externo e auditoria interna | Finanças + Auditor |
| Caminho de escalonamento | O que acontece em caso de incerteza ou baixa confiança | Finanças + TI |
Antes de o primeiro agente entrar em operação no departamento financeiro:
Segundo a Gartner (2024), 30-40% de todos os projetos de IA falham por falta de estrutura de governança. Não pela tecnologia. Não pelo orçamento. Pela organização.
Cada processo financeiro consiste em centenas de microdecisões. O framework de decisão classifica cada uma delas.
| Tipo | Decide | Exemplos |
|---|---|---|
| Humano (H) | Controller ou CFO | Decisão de crédito >100k, provisão para perdas, política contábil |
| Regra (R) | Normas contábeis (CPC/IFRS), legislação tributária | Cálculo de impostos, classificação contábil, prazos de pagamento, depreciações |
| Adequado para IA (A) | Agente com Confidence Routing | Classificação de faturas, detecção de anomalias, verificação de duplicatas |
A IA classifica, ela não calcula. Um agente reconhece que uma fatura é de serviços. Mas o desconto por pagamento antecipado é calculado pela regra.
Regras calculam, elas não decidem. A regra aplica a alíquota de imposto. Mas se uma provisão para perdas será constituída, decide o humano.
Humanos decidem onde a legislação ou a materialidade exige. Não porque fazem melhor - mas porque as normas contábeis (CPC/IFRS) e a obrigação de auditoria assim determinam.
Score = (R + A) / Total x 100
| Processo financeiro | Score | Significado |
|---|---|---|
| Contas a pagar (AP) | 85-95% | Altamente automatizável (dominado por regras) |
| Prestação de contas de viagem | 80-90% | Altamente automatizável |
| Financial Close | 65-75% | Bem automatizável (muitas etapas de verificação) |
| Detecção de fraudes | 55-70% | Parcialmente automatizável (muito Human-in-the-Loop) |
| Decisões de crédito | 30-45% | Primariamente humano (alto risco) |
Quanto menor o score, mais Human-in-the-Loop. Isso não é um déficit - é design.
O EU AI Act classifica sistemas de IA para avaliação de crédito como alto risco (Anexo III Nr. 5b). No Brasil, o PL 2338/2023 (Marco Regulatório da IA) estabelece obrigações semelhantes para sistemas de IA de alto risco.
Sistemas de IA destinados a avaliar a capacidade creditícia de pessoas físicas ou estabelecer sua pontuação de crédito, com exceção de sistemas de IA utilizados para detecção de fraudes financeiras.
O EU AI Act entra em vigor em agosto de 2026 (sujeito ao Digital Omnibus Package - possível adiamento para dezembro de 2027). O PL 2338/2023 brasileiro segue cronograma próprio. Seis requisitos obrigatórios se aplicam:
| Requisito | Art. | Decision Layer |
|---|---|---|
| Gestão de riscos | 9 | Confidence Routing - valor de confiança por decisão, limiar configurável |
| Governança de dados | 10 | Regras versionadas - cada alteração rastreável |
| Obrigações de registro | 12 | Audit Trail - input, regra, confiança, resultado registrados |
| Transparência | 13 | Documentação do Decision Layer - cada lançamento rastreável |
| Supervisão humana | 14 | Human-in-the-Loop obrigatório - arquitetural, não opcional |
| Precisão/Robustez | 15 | Monitoramento de anomalias - integração com SCI (Sistema de Controle Interno) |
Nem toda IA no setor financeiro é de alto risco. O contas a pagar (processamento de faturas) não se enquadra no Anexo III. Mas assim que um sistema de IA influencia decisões de crédito sobre pessoas físicas, os requisitos de alto risco se aplicam. Detecção de fraude em pessoas jurídicas é explicitamente excluída. No Brasil, a LGPD (Lei Geral de Proteção de Dados) reforça essas exigências com direitos de explicação e revisão de decisões automatizadas (Art. 20).
Sanções EU AI Act: Até 15 milhões EUR ou 3% do faturamento anual mundial. LGPD: Até 2% do faturamento, limitado a R$ 50 milhões por infração.
Auditores externos não contestam IA. Eles contestam sistemas mal documentados.
Segundo a PwC (2024), 78% dos auditores externos vêem a IA como oportunidade para melhorar processos de auditoria - desde que a documentação esteja correta. A EY (2024) relata que empresas com Audit Trails completos concluem a auditoria anual 3-4 semanas mais rápido.
| Área de auditoria | Requisito | Decision Layer |
|---|---|---|
| Completude | Cada transação registrada | Registro ininterrupto |
| Exatidão | Valores e classificações corretos | Regras versionadas com protocolos de teste |
| Tempestividade | Registro no período correto | Timestamp em cada entrada do Audit Log |
| Rastreabilidade | Do documento ao lançamento e vice-versa | Vinculação de documentos no Decision Layer |
| Aprovação | Liberação autorizada | Modelo de funções com cadeia de aprovação |
No Decision Layer, o auditor externo não é um observador externo que coleta amostras no final do ano. O Auditor Portal dá ao auditor acesso contínuo a:
Art. 4 EU AI Act: Todas as pessoas que operam ou supervisionam sistemas de IA devem possuir competência suficiente em IA. No Brasil, o PL 2338/2023 prevê obrigações similares de capacitação. Segundo a BCG (2024): planejar 12-22% do orçamento de IA para treinamento.
| Função | Conteúdo do treinamento | Atualização |
|---|---|---|
| Contador/Controller | Compreensão do sistema, escalonamento, interpretação de resultados | Anual |
| Auditor externo | Funções de auditoria, abordagem de auditoria para IA | Anual |
| CFO/Liderança Financeira | Framework de governança, conformidade, estratégia | Semestral |
| TI/Operações | Operação técnica, monitoramento, Incident Response | Trimestral |
Segundo o Institute of Finance & Management (2024), 42% de todas as faturas recebidas ainda são processadas manualmente. Custo médio: 8-12 EUR por fatura (Ardent Partners 2024).
| Decisão | Tipo | Exemplo |
|---|---|---|
| Classificação de fatura | IA | Material, serviço, investimento |
| Atribuição de fornecedor | IA + Regra | Reconhecer fornecedor, cruzar dados cadastrais |
| Cálculo de impostos | Regra | ICMS, ISS, PIS/COFINS, retenções na fonte |
| Classificação contábil | Regra | Centro de custo, conta contábil, projeto |
| Verificação de duplicatas | IA | Número da fatura, valor, data |
| Conciliação em três vias | Regra | Pedido de compra, recebimento, fatura |
| Aprovação >10k | Humano | Gerente do departamento confirma |
| Proposta de pagamento | Regra | Otimizado por desconto, planejamento de liquidez |
Resultado: 88-95% Zero-Touch. Custo por fatura de 8-12 EUR para 1-2 EUR. Tempo de processamento de 5-7 para 1-2 dias.
Segundo a GBTA Foundation: 58 USD por caso, 19% de taxa de erro, 52 USD por correção. Além disso: despesas de viagem são a área de auditoria mais frequente em fiscalizações tributárias.
| Decisão | Tipo | Exemplo |
|---|---|---|
| Classificação de comprovante | IA | Hotel, refeição, táxi, voo, trem |
| Diárias | Regra | País, duração, deduções conforme legislação |
| Refeições de negócios | Regra | Limites de dedutibilidade conforme RIR |
| Créditos tributários | Regra | Nota fiscal formal correta, impostos discriminados |
| Detecção de anomalias | IA | Valor incomum, acumulação, fins de semana |
| Aprovação em caso de desvio | Humano | Violação de política - superior confirma |
Resultado: 85-92% Zero-Touch. Custo por caso de 58 USD para 8-12 USD.
Segundo o Hackett Group (2024): média de 6,4 dias para o fechamento mensal. Best-in-Class: 4,8 dias.
| Fase | Decisão | Tipo |
|---|---|---|
| Conciliação de contas | Comparação previsto vs. realizado | Regra |
| Provisões | Competência do período | Regra |
| Reservas | Reservas conhecidas | Regra |
| Intercompany | Conciliação IC | Regra + IA |
| Provisão para perdas | Avaliação de recebíveis | Humano |
| Revisão do balanço | Verificação de plausibilidade | IA + Humano |
| Liberação | Sign-off | Humano |
Resultado: Fechamento mensal de 6-7 para 3-4 dias. 70-80% das conciliações automatizadas.
Segundo a ACFE (2024): 5% de perda de receita por fraude, em média 12 meses até a descoberta.
| Verificação | Tipo | Exemplo |
|---|---|---|
| Faturas duplicadas | Regra + IA | Mesmo valor, número similar, mesmo período |
| Fornecedores fantasma | IA | Novo fornecedor, sem presença na web |
| Anomalias de valores | IA | Desvio significativo do valor do pedido |
| Segregation of Duties | Regra | Princípio de quatro olhos violado |
| Padrões incomuns | IA | Acumulação logo abaixo do limite de aprovação |
| Caso de suspeita | Humano | Escalonamento para Compliance |
Resultado: Tempo de detecção de 12 meses para tempo real. Taxa de falsos positivos abaixo de 5%.
10 perguntas para o CFO. Avalie cada uma com 0 (não), 1 (parcialmente) ou 2 (sim).
| # | Pergunta | 0 | 1 | 2 |
|---|---|---|---|---|
| 1 | Temos uma visão geral de todos os sistemas de IA no setor financeiro (incl. Shadow AI). | ☐ | ☐ | ☐ |
| 2 | Existe uma pessoa responsável pela governança de IA no setor financeiro. | ☐ | ☐ | ☐ |
| 3 | O auditor externo está informado sobre o uso de IA. | ☐ | ☐ | ☐ |
| 4 | Para cada decisão financeira automatizada está definido: H, R ou A. | ☐ | ☐ | ☐ |
| 5 | Existe um Audit Trail para lançamentos contábeis assistidos por IA. | ☐ | ☐ | ☐ |
| 6 | Caminhos de escalonamento e limites de valores estão documentados. | ☐ | ☐ | ☐ |
| 7 | Colaboradores de Finanças concluíram treinamento em IA (Art. 4). | ☐ | ☐ | ☐ |
| 8 | A auditoria interna inclui processos de IA no plano de auditoria. | ☐ | ☐ | ☐ |
| 9 | Nosso SCI (Sistema de Controle Interno) abrange processos assistidos por IA. | ☐ | ☐ | ☐ |
| 10 | Temos um plano de conformidade para as regulamentações de IA (EU AI Act / PL 2338/2023). | ☐ | ☐ | ☐ |
| Score | Avaliação | Recomendação |
|---|---|---|
| 16-20 | Pronto | Escolher processo piloto e construir o Decision Layer. |
| 10-15 | Base existente | Formalizar governança. Envolver auditor externo. |
| 5-9 | Necessidade de atualização | Priorizar AI Literacy e inventário. |
| 0-4 | Ação necessária | Iniciar imediatamente. Prazos regulatórios estão correndo. |
1 EUR em tecnologia = 4-5 EUR em processos, governança, gestão de mudanças.
| Tecnologia | 15-20% |
| Design de processos | 30-35% |
| Governança | 20-25% |
| Gestão de mudanças | 20-25% |
| Mês | Foco | Resultado |
|---|---|---|
| 1 | Inventário | Visão geral de IA, ownership de governança, auditor informado, processo piloto identificado |
| 2 | Design | Auditoria de workflows, classificação H/R/A, limiares, documentação do SCI |
| 3 | Piloto | Decision Layer construído, operação em paralelo, medição após 4-6 semanas |
Mostramos o Decision Layer nos seus próprios processos financeiros.
30 minutos, gratuito, sem compromisso.
Theandra Moreira - Diretora de Consultoria, Gosign GmbH
Contato: www.gosign.de/br/contato
Web: www.gosign.de