Resolução CVM 80 substitui SOX para empresa brasileira?

Não. São regimes diferentes. SOX é regulação americana obrigatória para listados nos EUA; Resolução 80 é norma brasileira para listados no Brasil. Empresa com ambas as listagens (BDR + ADR) está sujeita aos dois. Empresa listada apenas no Brasil tem Resolução 80; listada apenas nos EUA tem SOX.

CVM já aplicou sanções por descumprimento de Resolução 80?

Sim, em casos pontuais a partir de 2024. Sancionamentos têm crescido em frequência e gravidade. Casos divulgados envolvem desde multa administrativa até processo sancionador. Tendência é aumento da fiscalização à medida que a norma se consolida.

Como conselho de empresa listada deve supervisionar controles internos sob Resolução 80?

Via comitê de auditoria ou conselho fiscal, com periodicidade no mínimo trimestral. Reporte formal da administração, indicadores claros, plano de ação para gaps identificados. Atas devem documentar a supervisão exercida. Sem isso, conselheiro tem exposição pessoal em caso de falha grave.

Como a CVM fiscaliza controles internos no Brasil

Análise da mudança regulatória em regulação: quem é afetado, prazos críticos, implementação e riscos de não-conformidade.

A CVM (Comissão de Valores Mobiliários) tem expandido fiscalização sobre controles internos em empresas listadas no Brasil. Não é mais foco apenas em demonstração contábil — é fiscalização do ambiente de controle que sustenta a demonstração. Esse artigo é sobre o que está mudando e como se preparar.

A mudança regulatória em pauta

A CVM editou Resolução 80/2022 (substituindo Instrução 480) com seção específica sobre estrutura de gestão de riscos e controles internos em empresa listada. Em 2024-2025, aprofundou via Ofícios-Circulares orientações sobre divulgação obrigatória de eventos materiais ligados a controles internos.

Os pontos centrais:

Empresa listada precisa divulgar, no Formulário de Referência, descrição da estrutura de controles internos sobre relatórios financeiros — não mais apenas afirmação genérica de que existe.
Auditoria independente passa a avaliar formalmente a estrutura de controles, com parecer separado quando há deficiência material identificada.
Eventos materiais que afetam confiabilidade do relatório financeiro precisam ser divulgados via Fato Relevante.
Conselho fiscal e comitê de auditoria têm responsabilidades explícitas sobre supervisão de controles internos.

Para empresa brasileira listada apenas no Brasil (sem ADR), isso é a forma local de SOX — não tão pesada, mas com obrigações reais e crescentes.

Quem é afetado e em que grau

Empresas listadas no Bovespa (Novo Mercado, Nível 2, Nível 1, Tradicional): todas afetadas, com obrigações graduadas por segmento. Novo Mercado tem exigências mais rigorosas.

Emissoras de títulos públicos: debêntures, CRA, CRI, ações em segmento básico. Obrigações de controle interno se aplicam quando há captação pública.

BDRs (Brazilian Depositary Receipts): regime específico, mas exigências similares quando o emissor estrangeiro também tem listagem no Brasil.

Empresas em IPO: precisam demonstrar controles internos no processo de oferta. CVM avalia em sede de registro.

Subsidiárias brasileiras de empresas listadas (sem listagem própria): não obrigadas diretamente pela CVM, mas frequentemente pelo grupo controlador.

Grau de impacto: empresa que já tem SOX (via ADR ou controladora americana) tem trabalho marginal — 60-70% dos controles já existem. Empresa listada apenas no Brasil sem programa formal de controles internos enfrenta esforço significativo — pode exigir 6-12 meses de adequação.

Prazos críticos de implementação

A Resolução 80 entrou em vigor em janeiro/2023. Obrigações divulgativas foram aplicadas progressivamente.

Já em vigor: descrição obrigatória da estrutura de controles internos no Formulário de Referência. Empresa que não preencheu adequadamente está em situação de não-conformidade.

Já em vigor: obrigação de divulgar via Fato Relevante eventos materiais ligados a controles internos. Empresa com incidente cibernético que afetou relatório financeiro deve divulgar.

Em consolidação: avaliação independente da estrutura de controles internos. CVM tem aprofundado entendimento sobre nível esperado de detalhamento e robustez.

Próximos passos esperados (2026-2027): indicadores há discussão sobre criação de framework específico para controles internos em empresa brasileira listada — algo entre SOX completo e a estrutura atual mais leve.

Recomendação: empresa listada que ainda não tem programa formal de controles internos deve estruturar imediatamente. Não há prazo final formal, mas atraso aumenta exposição em fiscalizações pontuais que CVM tem realizado.

Implementação prática nos próximos 6 meses

Roteiro para empresa brasileira listada que precisa fortalecer estrutura de controles:

Mês 1-2 — Diagnóstico. Inventário do que existe versus o que a Resolução 80 e Ofícios-Circulares orientam. Identificação de gaps específicos. Conversa com auditor independente sobre expectativa de revisão.

Mês 2-3 — Estruturação do programa. Formalização de matriz de controles internos sobre relatórios financeiros, com escopo definido por materialidade. Designação de donos de controle. Cronograma anual de testes internos.

Mês 3-4 — Reforço documental. Documentação dos controles em formato estruturado (não apenas política genérica). Evidência de operação. Trilha de auditoria robusta.

Mês 4-5 — Treinamento e cultura. Liderança das áreas (TI, financeiro, controladoria) treinada na nova abordagem. Comitê de auditoria informado sobre estrutura e indicadores.

Mês 5-6 — Atualização do Formulário de Referência. Próxima revisão do Formulário incorpora descrição detalhada da estrutura. Validação com assessoria jurídica especializada em mercado de capitais.

Riscos de não-conformidade

Empresa que não trata Resolução 80 adequadamente expõe-se a:

Risco 1 — Multas administrativas pela CVM. Por descumprimento de obrigações divulgativas. Valores podem chegar a milhões de reais por evento.

Risco 2 — Termo de Compromisso oneroso. CVM frequentemente aceita termo de compromisso como alternativa a processo sancionador, mas valor pode ser significativo.

Risco 3 — Exposição em fiscalização temática. CVM tem feito fiscalizações setoriais (financeiro, varejo, saúde) com foco em controles internos. Empresa não preparada vira referência negativa.

Risco 4 — Impacto reputacional. Sancionamento CVM é público, divulgado no site, replicado por mídia financeira. Impacto em preço de ação e em capacidade de captação.

Risco 5 — Responsabilização pessoal de administradores. Diretores e conselheiros têm responsabilidade fiduciária sobre controles internos. Em caso de falha grave, responsabilidade pode ser pessoal.

Comparativamente: investimento em adequação custa entre R$ 200 mil e R$ 800 mil em primeiro ciclo para empresa de médio porte. Multa potencial em caso de sancionamento começa em R$ 500 mil e pode passar de R$ 5 milhões. Matemática do risco é clara.