Início Calculadoras e Simulações Escopo SOx Demo & rubrica
Demo · Walkthrough · Rubrica completa

Como a Calculadora de Escopo SOx funciona — caso NeoBank BR

Tour visual da ferramenta, com a rubrica detalhada de pontuação e cinco aplicações reais de um banco digital fictício, uma para cada veredito possível. Use como referência ao discutir scoping com sua auditoria externa.

1 · Como funciona 2 · Anatomia da pontuação 3 · Rubrica de pontos 4 · Fórmula e thresholds 5 · Conheça a NeoBank BR 6 · 5 cenários reais 7 · Workflow co-fill 8 · First-year SOx
1 · Como funciona

Três passos para um resultado defensável

A calculadora segue a abordagem top-down risk-based do PCAOB AS 2201: começa pelas demonstrações financeiras, passa por processos significativos, chega aos sistemas. O preenchimento todo leva ~5 minutos.

1

Identifique a aplicação

Informe o nome do sistema e o processo de negócio que ele suporta. Esses dados ficam apenas no seu navegador — nada é enviado.

2

Responda 14 perguntas em 4 blocos

Relevância para DFs (gate), materialidade quantitativa, risco de distorção material (RMM), e dependência de ITGC/ITAC/IPE. Cada resposta soma pontos.

3

Receba veredito + plano

O resultado traz a justificativa, a pontuação por bloco, os ITGC esperados e os próximos passos. Pode ser impresso/salvo como PDF para a memória de scoping.

2 · Anatomia da pontuação

Quatro blocos, quatro perguntas centrais

Cada bloco responde a uma pergunta diferente que o auditor faria em walkthrough. A combinação dos quatro determina o veredito final.

Bloco 1 · Gate

Há nexo com Significant Account?

Se a aplicação não inicia, autoriza, processa, registra ou reporta nada que afete o ledger, está fora — independente do resto.

Faixa: 0 — 13 pontos
Bloco 2 · Materialidade

O volume importa?

Compara o que a aplicação processa com a materialidade da auditoria. Sem materialidade, sem motivo para testar.

Faixa: 0 — 14 pontos
Bloco 3 · RMM

Qual o risco de erro?

Combina complexidade, julgamento contábil, histórico de incidentes, customização e modelo de hosting (com/sem SOC 1).

Faixa: 0 — 19 pontos
Bloco 4 · ITGC

Há controles dependentes?

ITAC, IPE/Key Reports, SoD e integrações com sistemas em escopo. Controle compensatório forte pode reduzir pontuação.

Faixa: −4 — 15 pontos
3 · Rubrica de pontos

Quanto vale cada resposta

Os pesos foram calibrados a partir das práticas Big4 públicas e do que normalmente entra em risk assessment de fintech. Pontos negativos só aparecem em controle compensatório forte (Bloco 4).

Bloco 1 · Relevância para DFs

máx. 13
QRespostaPts
Q1Impacto direto (gera lançamento / alimenta ledger)+10
Q1Impacto indireto (alimenta sistema em escopo)+5
Q1Sem impacto financeiro0
Q2Cada processo significativo selecionado+1
Q2Cap (máximo 3 processos somam)+3

Bloco 2 · Materialidade

máx. 14
QRespostaPts
Q3Volume > 100% da materialidade+10
Q350–100% da materialidade+7
Q325–50% da materialidade+4
Q3< 25% da materialidade+1
Q3Não sei / não se aplica (dispara borderline)+3
Q4Volume transacional alto / médio / baixo+4 / +2 / 0

Bloco 3 · RMM

máx. 19
QRespostaPts
Q5Complexidade alta / média / baixa+4 / +2 / 0
Q6Julgamento contábil alto / médio / baixo+4 / +2 / 0
Q7Histórico de incidentes (sim / não sei / não)+4 / +1 / 0
Q8Custom / COTS+custom / COTS padrão+4 / +2 / 0
Q9SaaS sem SOC 1 (penalização)+3
Q9On-prem / IaaS / SaaS com SOC 1+1 / +1 / 0

Bloco 4 · ITGC e dependências

máx. 15 · mín. −4
QRespostaPts
Q10Possui ITAC-chave+4
Q11Gera Key Reports / IPE+3
Q12Faz enforce de SoD+3
Q13Integra com sistema em escopo+3
Q14Controle compensatório forte−4
Q14Controle compensatório frágil−1
Q14Sem controle compensatório+2

4 · Fórmula consolidada e thresholds

Total = B1 + B2 + B3 + B4
  B1 = pts Q1 + min(Q2.length, 3)
  B2 = pts Q3 + pts Q4
  B3 = pts Q5 + Q6 + Q7 + Q8 + Q9
  B4 = pts Q10 + Q11 + Q12 + Q13 + Q14
5 · A empresa fictícia

Conheça a NeoBank BR

Banco digital fictício usado nos cenários a seguir. Os dados são fabricados — qualquer semelhança com instituições reais é coincidência.

Caso fictício para fins didáticos

NeoBank BR — banco digital com listagem na NYSE

Instituição de pagamento brasileira em fase de listagem dual (B3 + NYSE), o que ativou a obrigação SOx. Atua em conta digital, cartões, crédito pessoal e maquininha. Em ano fiscal 2025 reportou R$ 4,2 bi de receita e processou volume transacional de R$ 180 bi. Materialidade global definida pela auditoria externa: R$ 84 milhões.

R$ 84 mi
Materialidade global
12 M
Clientes ativos
R$ 180 bi
Volume transacional / ano
~140
Aplicações no inventário
6 · Cinco cenários reais

Uma aplicação por veredito

Cada cenário mostra: contexto na NeoBank BR, as 14 respostas com o ponto correspondente, a soma por bloco, o gate disparado e o que o resultado implica.

Cenário 1 · Aplicação
CoreLedger BR
Veredito
In-Scope (Key System)
Contexto. Sistema central de contabilidade da NeoBank BR. Recebe lançamentos de todos os módulos (cartões, conta, crédito), apura saldos diários, gera o razão e alimenta o pacote de fechamento. Customização pesada sobre um produto COTS (motor T24-like). Hospedado on-premise no datacenter primário da NeoBank.

Respostas e pontos

Q1RelevânciaImpacto direto — gera lançamentos no ledger+10
Q2ProcessosReceita, Tesouraria, Fechamento, Crédito (cap em 3)+3
Q3MaterialidadeVolume > 100% da materialidade+10
Q4VolumeAlto (milhões de transações/dia)+4
Q5ComplexidadeAlta — regras de provisão e múltiplas moedas+4
Q6JulgamentoMédio — alguns parâmetros configuráveis+2
Q7HistóricoSem incidentes nos últimos 24 meses0
Q8TipoCOTS com customizações relevantes+2
Q9HostingOn-premise gerenciado pela NeoBank+1
Q10ITACSim — limites, validações, matching+4
Q11IPESim — relatório de razão usado no fechamento+3
Q12SoDSim — perfis críticos no próprio sistema+3
Q13IntegraçãoSim — alimenta sistema de consolidação+3
Q14CompensatórioExiste, mas é frágil−1

Pontuação

Bloco 1 · Relevância13
Bloco 2 · Materialidade14
Bloco 3 · RMM9
Bloco 4 · ITGC12
Total48
Gate disparado: Total ≥ 32 — Key System. Confirmado também por B2 ≥ 8 e ITAC+IPE = 7.
Implicação prática. ITGC completo (Access, Change, Operations, SDLC) testado anualmente, ITAC e IPE no escopo, walkthroughs por processo significativo, evidências de SoD. Estimativa de esforço: ~8–12 semanas de testes Big4 sobre este sistema.
Cenário 2 · Aplicação
TaxLake
Veredito
In-Scope (Limited)
Contexto. SaaS de cálculo e apuração de tributos (PIS, COFINS, ISS, IRRF). Recebe extrações do CoreLedger e devolve as guias e provisões. Fornecedor entrega SOC 1 Type II anual e a NeoBank tem reconciliação manual robusta entre o output do TaxLake e o lançamento contábil.

Respostas e pontos

Q1RelevânciaImpacto direto — gera lançamentos de impostos+10
Q2ProcessosImpostos+1
Q3MaterialidadeEntre 25% e 50% da materialidade+4
Q4VolumeMédio (milhares de operações/mês)+2
Q5ComplexidadeMédia — regras tributárias mas estáveis+2
Q6JulgamentoBaixo — parâmetros legais bem definidos0
Q7HistóricoSem incidentes0
Q8TipoCOTS / SaaS padrão0
Q9HostingSaaS com SOC 1 / ISAE 34020
Q10ITACSim — validações automáticas+4
Q11IPESim — relatório usado no fechamento+3
Q12SoDNão — controlado fora do sistema0
Q13IntegraçãoSim — recebe do CoreLedger+3
Q14CompensatórioForte — reconciliação manual documentada−4

Pontuação

Bloco 1 · Relevância11
Bloco 2 · Materialidade6
Bloco 3 · RMM2
Bloco 4 · ITGC6
Total25
Gate disparado: Total ≥ 18 mas < 32 — Limited. SOC 1 do fornecedor + controle compensatório forte derrubaram o RMM e o B4.
Implicação prática. Foco em Access e Change Management dos administradores na NeoBank, validação anual do SOC 1 do fornecedor (CUEC), e teste do controle de reconciliação manual. ITAC pode ser testado por inspeção do output, sem necessidade de replicar lógica interna.
Cenário 3 · Aplicação
CardCore Switch
Veredito
In-Scope por dependência
Contexto. Plataforma de processamento de cartões (autorização, captura, settlement). Não gera lançamentos contábeis diretamente, mas envia o batch de transações ao CoreLedger todo fim do dia. Falha aqui = inconsistência no ledger no D+1.

Respostas e pontos

Q1RelevânciaImpacto indireto — alimenta sistema em escopo+5
Q2ProcessosReceita+1
Q3MaterialidadeEntre 25% e 50% da materialidade+4
Q4VolumeAlto — milhões de autorizações/dia+4
Q5ComplexidadeAlta — múltiplas bandeiras, MDR, estornos+4
Q6JulgamentoBaixo — regras objetivas0
Q7HistóricoSem incidentes relevantes0
Q8TipoCOTS com customizações relevantes+2
Q9HostingCloud IaaS gerenciada pela NeoBank+1
Q10ITACSim — controles antifraude e limites+4
Q11IPENão — não gera relatório de fechamento0
Q12SoDNão no escopo SOx0
Q13IntegraçãoSim — envia batch ao CoreLedger+3
Q14CompensatórioExiste, mas é frágil−1

Pontuação

Bloco 1 · Relevância6
Bloco 2 · Materialidade8
Bloco 3 · RMM7
Bloco 4 · ITGC6
Total27
Gate disparado: Q1 = "indireto" + Q13 = sim — In-Scope por dependência. Sem essa regra, cairia em Limited apenas pela pontuação.
Implicação prática. ITGC focado em integridade da integração (jobs de batch, idempotência, conciliação automática), Access para a integração, monitoramento de falhas de envio. O CoreLedger continua sendo o "Key" — o CardCore entra como upstream auditado para preservar a trilha.
Cenário 3 — alternativo · Mesma aplicação, decisão diferente
CardCore Switch (promovido pela auditoria)
Veredito final (auditoria)
In-Scope (Key System)
Por que existe este cenário. A mesma CardCore Switch do Cenário 3 (form: Dependency, total 27) foi promovida pra Key System pela auditoria externa após walkthrough conjunto. Este caso ilustra a regra de ouro: o veredito do form é insumo de discussão, não decisão final. A auditoria pode (e deve) ajustar o escopo com base em fatores qualitativos que a heurística não captura.

Fatores qualitativos avaliados pela auditoria

1.Volume crítico~3 milhões de autorizações/dia, valores acumulados > 5× materialidade global em um trimestre
2.Concentração de riscoFalha silenciosa propaga pro CoreLedger via batch noturno — reconciliação a jusante é frágil, detecção típica D+1 ou pior
3.ITAC antifraudeAuditoria classificou os controles internos (regras de bloqueio, limites, MCC restrictions) como ITAC-chave — exige teste de operating effectiveness
4.CustomizaçãoCOTS com camada customizada extensa (motor de regras antifraude in-house em cima do core) — eleva risco de change management
5.Pressão regulatóriaComo instituição de pagamento (BCB), CardCore tem disclosure obrigatório no relatório financeiro — peso adicional na decisão

Comparação dos dois cenários

Form (Cenário 3 atual)Dependency · 27
Decisão da auditoriaKey System
Gap qualitativo+ fatores não capturados
Demonstra que o form é input pra discussão — auditoria pondera fatores qualitativos (concentração, pressão regulatória, materialidade acumulada em janela curta) que a calculadora não modela diretamente.
Implicação prática. ITGC completo (Access, Change, Operations, SDLC), ITAC antifraude documentados e testados anualmente, walkthrough conjunto trimestral. Esforço de teste Big4 estimado: ~6–10 semanas. A discussão com auditoria foi facilitada pelo memorando exportado da calculadora (com Q3 marcada como "Médio" e justificativa textual reforçando o volume processado).
Cenário 4 · Aplicação
CreditRisk Suite
Veredito
Borderline · provável Key System
Contexto. Engine in-house de cálculo de PDD/IFRS 9 (Expected Credit Loss). Recebe a base de empréstimos do CoreLedger, aplica o modelo PD × LGD × EAD e devolve a provisão a ser contabilizada. A controladoria ainda não fechou com a auditoria qual fração do volume da carteira está coberta — daí a materialidade ficar marcada como "não sei".

Respostas e pontos

Q1RelevânciaImpacto direto — gera provisão contábil+10
Q2ProcessosCrédito + Fechamento (cap não atinge)+2
Q3MaterialidadeNão sei / não se aplica → gate borderline+3
Q4VolumeMédio+2
Q5ComplexidadeAlta — modelo estatístico+4
Q6JulgamentoAlto — premissas e cenários macro+4
Q7HistóricoSim — ajuste relevante no Q2/2025+4
Q8TipoDesenvolvido in-house+4
Q9HostingOn-premise+1
Q10ITACSim — cálculo automatizado é o core+4
Q11IPESim — relatório de provisão+3
Q12SoDNão no próprio sistema0
Q13IntegraçãoSim — recebe e envia ao ledger+3
Q14CompensatórioNão há controle compensatório+2

Pontuação

Bloco 1 · Relevância12
Bloco 2 · Materialidade5
Bloco 3 · RMM17
Bloco 4 · ITGC12
Total46
Gate disparado: Q3 = "não sei" — Borderline. Sublabel provável Key System, pois o total (46) ≥ 32 e B2 ≥ 8 com ITAC+IPE ≥ 4 — a aplicação bateria em Key se a materialidade fosse confirmada. A regra existe pra forçar conversa com auditoria antes de fechar escopo.
Implicação prática. Quantificar a materialidade processada com Finanças e Controladoria, levar a análise para reunião formal com a auditoria externa, decidir entre Key System (provável, dado o RMM altíssimo) ou tratamento como Critical Audit Matter. Documentar a decisão em ata e revisar trimestralmente.
Cenário 5 · Aplicação
NeoTalk
Veredito
Out-of-Scope
Contexto. Plataforma de comunicação interna usada pelos colaboradores da NeoBank (chat, canais, vídeo). Não toca em dados financeiros, não gera lançamento, não alimenta nenhum sistema em escopo. SaaS COTS padrão de mercado.

Respostas e pontos

Q1RelevânciaSem impacto financeiro0
Q2ProcessosNenhum dos acima0
Q3MaterialidadeAbaixo de 25%+1
Q4VolumeBaixo0
Q5ComplexidadeBaixa0
Q6JulgamentoInexistente0
Q7HistóricoSem incidentes0
Q8TipoCOTS / SaaS padrão0
Q9HostingSaaS com SOC 1 / ISAE 34020
Q10ITACNão0
Q11IPENão0
Q12SoDNão0
Q13IntegraçãoNão0
Q14CompensatórioNão há+2

Pontuação

Bloco 1 · Relevância0
Bloco 2 · Materialidade1
Bloco 3 · RMM0
Bloco 4 · ITGC2
Total3
Gate disparado: Q1 = "não" + nenhum processo — Out-of-Scope direto, sem nem precisar avaliar a soma.
Implicação prática. Fora do programa SOx. Documentar a decisão em memorando de scoping e manter controles baseline de cibersegurança e LGPD (NIST CSF, ISO 27001, BCB nº 85). Reavaliar se o produto evoluir para integrar com sistemas financeiros.
7 · Workflow colaborativo · co-fill

Quando Tech e Finanças preenchem juntos

A calculadora suporta preenchimento em duas etapas via link compartilhável. Cada parte responde o que domina e marca o resto como "não sei", reduzindo chute e elevando a confiança do veredito.

Cenário 6 · co-fill em 2 etapas
TreasuryDesk (NeoBank)
Veredito final
In-Scope (Limited)
Contexto. Sistema de tesouraria que controla saldo em contas, conciliação bancária diária e movimentação de caixa. Tech (SRE responsável pelo produto) abre a calculadora, preenche o que conhece e envia o link de co-fill pra Controladoria via Slack. Em 24h, a Controller completa as partes contábeis e roda o cálculo.

Etapa 1 · Tech (SRE) · 4 min

Q1Não sei (co-validar com Finanças)
Q2Não selecionou nenhum
Q3aNão sei se sei
Q3-volR$ 10–100 mi/ano
Q4Médio (milhares/mês)
Q5Média
Q6Não sei
Q7Não
Q8COTS com custom relevante
Q9Cloud IaaS
Q10Sim (limites e validações)
Q11Não sei
Q12Sim (roles do sistema)
Q13Sim (envia ao ledger)
Q14Não sei
Q15Não sei

Tech clica em "🔗 Copiar link colaborativo" e cola no Slack: "Bia, completou Q1, Q2, Q3a, Q6, Q11, Q14 e Q15? Marquei 'não sei' nelas."

Etapa 2 · Finanças (Controller) · 3 min

Q1Direto (gera lançamentos)
Q2Tesouraria + Fechamento (+4)
Q3aSim, sei a materialidade
Q3-known25–50% (med)
Q4(mantém: Médio)
Q5(mantém: Média)
Q6Baixo — regras fixas
Q7(mantém: Não)
Q8(mantém)
Q9(mantém)
Q10(mantém: Sim)
Q11Sim — extrato no fechamento
Q12(mantém: Sim)
Q13(mantém: Sim)
Q14Frágil — reconciliação ad-hoc
Q15Sim, segundo ciclo SOx

Controller clica em "Calcular escopo" e baixa o memorando PDF. Manda pra GRC.

Resultado final. Total 26 · veredito In-Scope (Limited) · confiança 91% (zero "não sei" no final). Tempo total: ~7 min divididos em 2 janelas, sem necessidade de reunião. Cada parte respondeu o que dominava — Tech informou volume técnico, integração e ITAC; Finanças confirmou nexo com DF, materialidade e julgamento contábil. Confiança alta porque cada resposta veio de quem sabe. O memorando exportado tem "Persona do respondente" apenas da Controller (último a salvar), mas o histórico de comentários por pergunta preserva quem disse o quê.
8 · First-year SOx · Q15 + Q16 em ação

Quando a empresa entra no SOx pela primeira vez

Empresas em pre-IPO ou dual listing têm controles ainda em ramp-up, baseline incompleto e janelas críticas concentradas no fechamento. As perguntas Q15 (first-year) e Q16 (hard close) capturam exatamente esse contexto e elevam o RMM.

Cenário 7 · Empresa em primeiro ano SOx
FirstYearAnalytics (NeoBank — Q1 pré-listing)
Veredito
In-Scope (Key System)
Contexto. Plataforma de analytics que extrai do CoreLedger e produz dashboards consumidos pela Controladoria no fechamento. NeoBank ainda está em first-year SOx (pré-listagem NYSE), com baseline de controles em ramp-up. O uso é concentrado em hard close (mensal e trimestral). Sem as perguntas Q15 e Q16, esta aplicação seria Limited (Total 30); com elas, vira Key System (Total 33).

Respostas e pontos

Q1RelevânciaDireto — gera output usado em DF+10
Q2ProcessosReceita+2
Q3Materialidade25–50% (sabe materialidade)+4
Q4VolumeMédio+2
Q5ComplexidadeMédia+2
Q6JulgamentoBaixo — fórmulas fixas0
Q7HistóricoSem incidentes (mas só 8 meses ao ar)0
Q8TipoIn-house (motor analítico próprio)+4
Q9HostingCloud IaaS+1
Q10ITACNão — sem regras automatizadas críticas0
Q11IPESim — dashboards usados no fechamento+3
Q12SoDNão no próprio sistema0
Q13IntegraçãoSim — extrai do CoreLedger+3
Q14RedutorExiste, mas é frágil (review ad-hoc)−1
Q15First-yearNão — primeira avaliação SOx+2
Q16Hard closeSim — uso predominante em close+1

Pontuação

Bloco 1 · Relevância12
Bloco 2 · Materialidade6
Bloco 3 · RMM12
Bloco 4 · ITGC5
Total33
Gate disparado: Total ≥ 32 — Key System. Sem Q15+Q16 (V1), o total seria 30 → Limited. A calibração first-year + hard close foi decisiva.
Implicação prática. A NeoBank, em first-year SOx, decide tratar o FirstYearAnalytics como Key System pra construir o baseline de ITGC desde o ciclo 1, em vez de adiar. ITGC completo (Access, Change, Operations, SDLC) testado anualmente, IPE testado quanto a completeness e accuracy, walkthrough conjunto com auditoria. No Year 2, com Q15 = "Sim", possivelmente a aplicação volta pra Limited se o RMM operacional baixar — daí a importância de re-rodar a calculadora a cada ciclo.

Pronto para rodar com seu próprio caso?

Abra a calculadora, responda em 5 minutos e baixe a memória de scoping em PDF para discussão com a auditoria externa.

Abrir calculadora →