Como a Calculadora de Escopo SOx pondera o risco

O auditor externo não testa todas as aplicações da empresa. Ele parte do que é material nas demonstrações financeiras e desce até os sistemas que sustentam aquele número. Esse é o approach top-down risk-based do PCAOB AS 2201.

A calculadora segue esse caminho:

• Bloco 1 — Relevância (gate). A aplicação tem nexo com algum significant account ou disclosure? Se não, está fora de escopo, sem precisar avaliar mais nada.
• Bloco 2 — Materialidade. Se tem nexo, o volume processado é material? Compara contra a materialidade global (overall) e operacional (performance) definidas pela auditoria. Se desconhecida, usa proxy de ~1% da receita líquida.
• Bloco 3 — RMM (risk of material misstatement). Probabilidade × magnitude. Considera complexidade, julgamento contábil, histórico, customização, hosting, first-year, hard close.
• Bloco 4 — ITGC e dependências. Se a aplicação tem ITAC, IPE ou SoD relevantes, demanda ITGC formal. Controle compensatório forte a jusante (redutor) pode atenuar.

O total consolidado e os gates determinam o veredito final: Out / Dependency / Limited / Borderline / Key.

Bloco 1 · Gate de relevância (0 a 13 pontos)

Q1 — Nexo com DFs. Direto (gera lançamentos) = +10; Indireto (alimenta sistema em escopo) = +5; Sem impacto = 0. Q2 — Processos significativos. Receita / Tesouraria / Crédito / Fechamento = +2 cada; Compras / Folha / Estoques / Impostos = +1 cada. Cap em 5 pontos. Sem nexo com nenhum processo significativo e Q1 = "não" dispara veredito Out direto.

Bloco 2 · Materialidade quantitativa (0 a 14 pontos)

Q3 — Volume vs materialidade. Acima de 100% = +10; 50-100% = +7; 25-50% = +4; abaixo de 25% = +1; "não sei" = +3 (e dispara borderline). Quando o respondente não conhece a materialidade definida pela auditoria, a calculadora bifurca: pede volume absoluto da aplicação em R$ e a receita líquida da empresa, calcula proxy de ~1% da receita e mapeia a razão volume/materialidade-estimada nas mesmas faixas. Q4 — Volume transacional. Alto = +4; Médio = +2; Baixo = 0.

Bloco 3 · Risco de distorção material (0 a 22 pontos)

Q5 — Complexidade dos cálculos. Alto/Médio/Baixo = +4/+2/0. Q6 — Julgamento contábil. Mesmo padrão. Q7 — Histórico recente de incidentes ou ajustes. Sim = +4; Não sei = +1. Q8 — Tipo de aplicação. Custom/in-house = +4; COTS+custom = +2; COTS padrão = 0. Q9 — Hospedagem. SaaS sem SOC 1 = +3; On-prem / IaaS = +1; SaaS com SOC 1 = 0. Q15 — First-year SOx. Primeira avaliação = +2; já passou em ciclos = 0. Q16 — Fechamento crítico. Uso predominante em hard close = +1.

Bloco 4 · ITGC, ITAC, IPE e dependências (−4 a +15 pontos)

Q10 — ITAC. Sim = +4. Q11 — IPE / Key Reports. Sim = +3. Q12 — SoD com enforce técnico. Sim = +3. Q13 — Integração com sistema em escopo. Sim = +3. Q14 — Redutor de escopo (controle compensatório). Forte = −4; Frágil = −1; Não há = +2. Aplicações com redutor forte e documentado podem ter ITGC reduzido — daí a única pontuação negativa do modelo.

"Não sei" em qualquer pergunta crítica vale +1 (incerteza vira risco) e reduz a confiança do veredito final.

Os pesos foram calibrados a partir de três fontes triangulares:

• Publicações Big4. Posicionamento técnico de PwC, Deloitte, EY e KPMG sobre scoping SOx, materiality, RMM drivers e ITGC reliance. Onde houve divergência, prevaleceu a média conservadora (maior peso ao indicador de risco).
• Princípios COSO ICIF. O Bloco 3 reflete o componente Risk Assessment (princípios 6-9 do COSO 2013); o Bloco 4 reflete Control Activities e Information & Communication.
• Calibração empírica nos cenários da demo. A rubrica foi testada contra cinco aplicações fictícias do banco NeoBank BR — um por veredito — e contra três cenários de borda. A ponderação Q2 (Tier 2) foi validada empiricamente: zero drift de veredito após a mudança, justificando manter os thresholds 18/32.

Thresholds (cutoffs) consolidados

"Borderline" é um veredito intencionalmente ambíguo — sinaliza que o gate de incerteza disparou e a discussão com auditoria é mandatória. Mas o quanto a aplicação está perto de cada destino possível varia. Por isso, três sublabels:

• Borderline · provável Key System. Total ≥ 32 OU (B2 ≥ 8 ∧ ITAC + IPE ≥ 4). A aplicação bateria em Key se a materialidade fosse confirmada. Recomendação: preparar materiais como se fosse Key e ajustar para baixo se a auditoria decidir Limited.
• Borderline · provável Limited. Total entre 18 e 31. Pontuação compatível com escopo reduzido, mas o fator de incerteza demanda conversa. Recomendação: defender o escopo Limited com base na materialidade confirmada.
• Borderline · provável Out. Total < 18 com gate intermediário ativado. Pontuação baixa, mas a incerteza ainda demanda revisão antes de excluir definitivamente.

Em todos os três casos, o memorando exportado pela calculadora documenta o gate disparado e oferece um template de email para iniciar a conversa com a auditoria.

Em empresas pre-IPO, dual listing em primeiro ano, ou cenários onde a materialidade ainda não foi calculada pela auditoria, a calculadora oferece um caminho alternativo: proxy de ~1% da receita líquida. Esta é uma rule of thumb historicamente usada em prática Big4 como ponto de partida conservador.

O fluxo:

• Pergunta 3a verifica se a materialidade é conhecida.
• Se não, pergunta 3b' coleta o volume processado pela aplicação em ordem de grandeza (R$ 1M / 10M / 100M+).
• Pergunta 3c coleta a receita líquida da empresa, também em ordem de grandeza.
• A calculadora estima materialidade implícita como 1% da receita.
• Calcula a razão volume / materialidade e mapeia no mesmo padrão de Q3 conhecida (high / medhigh / med / low).

Pra preservar honestidade epistêmica, listamos o que a ferramenta não faz — situações em que ela deve ser complementada por análise qualitativa adicional ou conversa direta com a auditoria.

• Concentração de risco em janela curta. Aplicações com volume transacional concentrado em poucas datas (fechamentos, datas de vencimento de tributos) podem ter risco residual maior do que o capturado por Q4 + Q16. A Q16 (fechamento crítico) ajuda, mas não é granular o suficiente.
• Pressão regulatória setorial. Bancos, seguradoras e instituições de pagamento têm disclosures obrigatórios em relatórios regulatórios além das DFs (BCB, CVM, SUSEP). Aplicações tocando esses disclosures podem precisar de Key independente da pontuação.
• Critical Audit Matters (CAM) / Key Audit Matters (KAM). Se uma aplicação suporta um julgamento contábil destacado pelo auditor como CAM/KAM, o tratamento é diferenciado — geralmente Key, com walkthrough mais profundo. A calculadora aproxima isso via Q6 + Q11, mas não tem uma pergunta direta sobre CAM/KAM mapping.
• Material weakness em ciclos anteriores. Q7 captura histórico de incidentes nos últimos 24 meses, mas não distingue severidade (deficiency vs significant deficiency vs material weakness). Pra empresas com material weakness recente, o RMM real é maior que o capturado.
• Dependências cruzadas entre aplicações. Apenas Q13 (integração) é capturada. Cadeias mais longas (App A alimenta App B que alimenta o ledger) podem ter risco propagado que a calculadora não rastreia.
• Calibração de Q2 entre setores. A ponderação +2 para Receita / Tesouraria / Crédito / Fechamento reflete ICFR para serviços financeiros e B2B típico. Em indústria, varejo ou utilities, os pesos relativos podem diferir.
• Ausência de validação contra ground truth. Não foi feito ainda o estudo de validação contra 20–30 aplicações reais classificadas Big4. Os pesos são plausíveis e calibrados em cenários sintéticos, mas a taxa de concordância empírica permanece desconhecida.

Quando qualquer um desses fatores estiver presente, recomendamos levar o veredito da calculadora como input para a discussão com auditoria, não como output da decisão final. O botão "📧 Preparar conversa com auditoria" no memorando ajuda a operacionalizar isso.

Esta ferramenta aplica heurísticas baseadas em metodologias públicas e práticas Big4 consolidadas. Não substitui o julgamento profissional da auditoria externa, do Comitê de Auditoria, do CFO ou de profissionais qualificados em ICFR e SOx.

O escopo final SOx de uma aplicação é determinação conjunta da empresa, comitê de auditoria e auditoria externa. Use o resultado da calculadora como insumo estruturado, defensável e auditável, mas não como decisão isolada.

Os autores da ferramenta não assumem responsabilidade por decisões de scoping tomadas exclusivamente com base no resultado da calculadora. Recomenda-se sempre validar com auditoria externa qualificada antes de fechar escopo ou excluir aplicações do programa SOx.

Última atualização desta página: versão V2 (16 de maio de 2026). Conforme a ferramenta evolui, esta metodologia pode ser revisada. Acompanhe o changelog em Tier 1 · Tier 2 · Tier 3.