Calculadora de Escopo SOx

Identificação

Aplicação avaliada

Apenas para o resultado ficar contextualizado. Nada é enviado para fora do seu navegador.

Bloco 1 · Gate eliminatório

Relevância para Demonstrações Financeiras

Se a aplicação não tem nexo com nenhum , ela está fora de escopo SOx — independentemente de tudo o mais.

1. A aplicação inicia, autoriza, processa, registra ou reporta transações que afetam contas das demonstrações financeiras consolidadas?

Inclui qualquer impacto direto: lançamento contábil, geração de fatura, cálculo de provisão, processamento de pagamento, etc.

Sim, diretamente — gera lançamentos ou alimenta o ledger

Indiretamente — alimenta um sistema que está em escopo

Não tem qualquer impacto financeiro

2. Que processo(s) de negócio significativo(s) a aplicação suporta?

Selecione todos que se aplicam. Processos significativos são os que originam .

Receita / Faturamento

Compras / Contas a Pagar

Folha de Pagamento

Tesouraria / Caixa / Investimentos

Estoques / Custo

Impostos

Fechamento Contábil / Consolidação

Crédito / Carteira de empréstimos

Nenhum dos acima

⚠ Possível inconsistência. Q1 indica que a aplicação não tem impacto financeiro, mas Q2 marca processo(s) significativo(s). Reconciliar antes de prosseguir: provavelmente Q1 deveria ser "Indiretamente — alimenta um sistema em escopo", ou Q2 marcou processo por engano.

✓ Exit-early disponível

Suas respostas indicam que esta aplicação não impacta demonstrações financeiras e não suporta processo significativo. Você já pode concluir como Out-of-Scope sem responder o resto — ou continuar pra documentar a análise completa, o que torna a memória de scoping mais defensável.

Bloco 2 · Materialidade

Materialidade quantitativa

Compare o volume processado pela aplicação com a definida pela auditoria externa (overall materiality / ).

3a. Você conhece a definida pela auditoria externa para este ano fiscal?

Geralmente Controller/CFO sabe. Se desconhecida (ex.: primeiro ano SOx, pre-IPO), vamos estimar via proxy de ~1% da receita líquida.

Sim, sei

Não / nunca foi calculada

Não sei se sei

3b. Volume financeiro anual processado pela aplicação versus materialidade da auditoria

Acima da materialidade global (> 100%)

Entre 50% e 100% da materialidade

Entre 25% e 50% da materialidade

Abaixo de 25% da materialidade

3b. Volume financeiro anual processado pela aplicação (em R$)

Tech normalmente sabe este número (ordem de grandeza basta).

Acima de R$ 100 milhões/ano

Entre R$ 10 milhões e R$ 100 milhões/ano

Entre R$ 1 milhão e R$ 10 milhões/ano

Abaixo de R$ 1 milhão/ano

Não sei

3c. Receita líquida anual da empresa (faturamento)

Usamos como proxy de materialidade: ~1% da receita líquida. Ex.: R$ 1 bi de receita → materialidade implícita ~ R$ 10 mi.

Acima de R$ 10 bilhões/ano

Entre R$ 1 bilhão e R$ 10 bilhões/ano

Entre R$ 100 milhões e R$ 1 bilhão/ano

Abaixo de R$ 100 milhões/ano

Não sei

4. Volume transacional anual

Alto (milhões+)

Médio (milhares)

Baixo (centenas ou menos)

Bloco 3 · Risco

Risco de Distorção Material ()

Probabilidade × magnitude. O auditor olha complexidade, , histórico e nível de customização.

5. Complexidade dos cálculos / regras de negócio embarcadas

Alta = múltiplas regras, integrações complexas, múltiplas moedas, parâmetros externos. Baixa = fluxo direto, sem cálculos relevantes.

Alta

Média

Baixa

Não sei

6. O resultado calculado pela aplicação envolve premissas que podem mudar, ou é cálculo determinístico (regra fixa)?

Premissas variáveis = taxas, probabilidades, projeções, parâmetros macroeconômicos. Ex.: , fair value, impairment, modelos estatísticos. Cálculo determinístico = regra fixa, sem premissas.

Premissas variáveis (modelo estatístico, ECL/IFRS 9, fair value, projeção)

Mix — algumas premissas, parte determinística

Cálculo determinístico (regra fixa)

Não sei (co-validar com Finanças)

7. Histórico de incidentes, ajustes manuais relevantes ou deficiências de controle nos últimos 24 meses

Sim

Não

Não sei

8. Tipo de aplicação

= software comprado pronto. Customização relevante muda o tipo de teste necessário.

Desenvolvido in-house ou altamente customizado

COTS com customizações relevantes

COTS / SaaS padrão, baixíssima customização

Não sei

9. Hospedagem e modelo operacional

são relatórios de auditoria do fornecedor SaaS. Sem eles, o cliente precisa controles compensatórios fortes.

On-premise gerenciado pela própria empresa

Cloud IaaS/PaaS gerenciado pela empresa

SaaS de terceiro com SOC 1 / ISAE 3402 disponível

SaaS de terceiro sem SOC 1 / ISAE 3402

Não sei

15. Esta aplicação já passou por uma auditoria SOx em ano(s) anterior(es)?

Primeira avaliação SOx = controles ainda não calibrados, baseline incompleto. O RMM tende a ser maior (+2) no first-year.

Sim, em pelo menos um ciclo SOx

Não — primeira avaliação

Não sei

16. Esta aplicação é usada quase só em janelas de fechamento contábil (hard close mensal, trimestral ou anual)?

Uso predominante em hard close = janela curta + pressão de prazo + menor chance de detecção de erro em tempo. +1 ao RMM nesse caso. Pergunta opcional.

Sim, uso predominante em hard close

Misto — usado em close e operação contínua

Não — uso contínuo / operacional

Não sei

Bloco 4 · ITGC e dependências

Dependência de controles automatizados e integrações

Se a aplicação suporta , ou de controles-chave, ela tende a precisar de formal.

10. Existe lógica de negócio crítica dentro do sistema que aprova, bloqueia, calcula ou valida transações automaticamente, sem intervenção humana?

Ex.: matching 3-vias, limites de aprovação, validação de duplicidade, tolerâncias automáticas, cálculo de provisão. A classificação como "chave" para a auditoria vem depois — aqui o foco é a existência da lógica.

Sim — existem regras automatizadas que afetam o resultado financeiro

Não — toda validação relevante é manual ou está fora do sistema

Não sei

11. A aplicação gera algum relatório, extrato, planilha ou export usado pela Controladoria, FP&A ou Auditoria para conferir números, suportar lançamento contábil ou compor as demonstrações?

Inclui dashboards exportáveis e queries recorrentes — qualquer output da aplicação que vire insumo de uma decisão ou registro financeiro.

Sim — algum output da aplicação é usado para fins financeiros

Não — a aplicação não gera output usado para fins financeiros

Não sei (co-validar com Controladoria)

12. O próprio sistema impede tecnicamente que o mesmo usuário aprove, execute e concilie a mesma transação financeira?

Não é se a política existe — é se o sistema bloqueia. "Enforce" técnico = roles/perfis fazem o bloqueio dentro da aplicação.

Sim, há enforcement técnico no sistema

Não — SoD é tratada fora do sistema (matriz organizacional, controles compensatórios)

Não sei

13. A aplicação se integra com sistemas já em escopo SOx (ERP, ledger, consolidação)?

Sim

Não

Não sei

14. Redutor de escopo: se a aplicação errasse silenciosamente (cálculo errado, transação perdida), em quanto tempo o erro seria detectado e corrigido por um controle fora dela?

Quanto mais rápida e documentada a detecção, maior o "redutor". Ex.: reconciliação automatizada com evidência, fechamento contábil revisado por humano com trilha.

Em horas/dias, com evidência documentada (redutor forte)

Em semanas/meses, sem evidência clara (redutor frágil)

Possivelmente nunca detectado, ou só na auditoria (não há redutor)

Não sei

Como interpretar

O resultado não substitui a decisão da auditoria externa, mas dá um norte fundamentado para discussão com o auditor.

— completo + + testados anualmente.
In-Scope (Limited) — escopo reduzido, foco em controles-chave.
In-Scope por dependência — sistema upstream que alimenta um Key System.
Borderline — discussão obrigatória com auditoria.
Out-of-Scope — fora do programa SOx, manter monitoramento residual.

Base metodológica

PCAOB AS 2201 — scoping
COSO 2013 — Internal Control Integrated Framework
SEC Rule 13a-15 / Section 404
Práticas Big4 consolidadas (PwC, Deloitte, EY, KPMG)
para terceiros
→ Ver metodologia completa

3 perguntas rápidas pra confirmar se vale preencher o form

Justificativa

Recomendação

Qual é o seu papel nesta avaliação?

Pra referência — exemplos da demo (caso NeoBank BR)

Aplicação avaliada

Relevância para Demonstrações Financeiras

Materialidade quantitativa

Risco de Distorção Material ()

Dependência de controles automatizados e integrações

Justificativa

Pontuação por bloco

Por que esse veredito · Show your work

Controles esperados

Próximos passos sugeridos

3 perguntas rápidas pra confirmar se vale preencher o form

Justificativa

Recomendação

Qual é o seu papel nesta avaliação?

Pra referência — exemplos da demo (caso NeoBank BR)

Aplicação avaliada

Relevância para Demonstrações Financeiras

Materialidade quantitativa

Risco de Distorção Material (RMM)

Dependência de controles automatizados e integrações

Justificativa

Pontuação por bloco

Por que esse veredito · Show your work

Controles esperados

Próximos passos sugeridos

Risco de Distorção Material ()