Indústria pesada precisa cobrir OT no escopo SOX?

Quando sistemas de OT alimentam dados financeiros materiais, sim. Não é o sistema em si que define escopo, é a materialidade do que ele produz. Balança industrial que pesa minério que vira receita está claramente no escopo. PLC que controla forno de aquecimento que não toca diretamente faturamento, normalmente não.

Qual o custo típico de programa SOX em indústria pesada de médio porte?

Para empresa de R$ 500 mi-1,5 bi de receita, primeiro ciclo SOX custa entre R$ 600 mil e R$ 1,8 milhão considerando consultoria, ferramentas, horas internas e treinamento. Manutenção anual posterior fica em R$ 200-400 mil. Indústria pesada tipicamente está no topo da faixa por causa da complexidade OT.

Como justificar o investimento em controle de overrides manuais?

Use o custo de uma ressalva pública como contraponto. Em indústria listada, ressalva material gera queda média de 4-8% no preço da ação no anúncio, plus impacto reputacional duradouro. Investimento em controle de overrides custa R$ 50-150 mil. Math é óbvio. Apresente ao CFO em termos financeiros.

SOX em indústria pesada: controles para chão de fábrica

Como sox em indústria pesada muda no setor indústria — riscos específicos, caso real, implementação prática e checklist para o gestor responsável.

Indústria pesada — siderurgia, metalurgia, química, papel e celulose, mineração — é onde SOX encontra um terreno particularmente difícil: chão de fábrica. Sistemas industriais (OT) conversam com sistemas administrativos (TI) por integrações antigas e mal documentadas. Quando o auditor entra, ele encontra um emaranhado.

Falo aqui do que aprendi em 12 ciclos de auditoria SOX no setor.

Por que indústria muda o jogo neste tema

[Conteúdo do tópico "Por que indústria muda o jogo neste tema" — desenvolver com 350-450 palavras. Voz: brutalmente honesto, exemplos em R$, casos brasileiros, sem hype. Anderson Chipak primeira pessoa.]

Os 3 riscos típicos do setor indústria

[Conteúdo do tópico "Os 3 riscos típicos do setor indústria" — desenvolver com 350-450 palavras. Voz: brutalmente honesto, exemplos em R$, casos brasileiros, sem hype. Anderson Chipak primeira pessoa.]

Caso real: uma empresa de indústria

Metalúrgica de capital aberto, R$ 1,4 bilhão de receita, controlada por grupo americano listado em NYSE. SOX desde 2019. Segundo ciclo após troca de CIO.

O auditor PwC tinha identificado, no ciclo anterior, deficiência material em "reconciliação produção física × receita". O plano de remediação foi prometido em 12 meses. Eu entrei 4 meses antes do prazo, com 60% do plano não executado.

O que fizemos:

Construímos um relatório diário automático que cruza tonelagem do MES com nota fiscal emitida no ERP. Cada divergência acima de 50 toneladas dispara alerta para o controller.
Implementamos workflow no sistema de pesagem. Override manual exige justificativa textual e aprovação do supervisor de turno.
Estruturamos reconciliação mensal formal (não trimestral). Custo: 16 horas/mês do time fiscal. Beneficiário: rastreabilidade que sobrevive auditoria.

Resultado: a deficiência foi fechada com 3 semanas de antecedência. Auditor externo validou. Custo total: R$ 145 mil em 4 meses, contra proposta de Big Four que pedia R$ 480 mil em 9 meses.

Implementação prática em indústria

O programa SOX em indústria pesada precisa cobrir tanto TI quanto OT. Roteiro que aplico:

Inventário cruzado de TI e OT. Não basta listar o ERP. Inclua MES, SCADA, sistema de pesagem, sistema de qualidade, sistema de manutenção (CMMS). Tudo que toca em volume físico que vira financeiro. Em planta industrial típica esse inventário tem 15-30 sistemas.

Mapa de integrações. Pra cada par de sistemas integrados (MES → ERP, balança → MES, qualidade → ERP), documente: método (API, arquivo, banco direto), frequência, validação, ponto único de falha, responsável técnico. Esse mapa frequentemente é o documento mais valioso do programa.

Reconciliação física × contábil documentada. Mensal, no mínimo. Comparação entre produção, expedição, faturamento, receita reconhecida. Variações explicadas. Aprovação formal por controller. Arquivo organizado.

Controle sobre overrides manuais. Cada sistema industrial tem função de override pra emergência. Mapeie quem pode usar, em que situação, com que aprovação. Logue tudo. Audite mensalmente.

Erros recorrentes específicos do setor

Erro 1 — Tratar OT como fora do escopo. A engenharia diz "isso é nosso, TI não mexe". OK, mas se o sistema dela alimenta dado financeiro material, ele entra em SOX. Quem é dono operacional não muda a obrigação de controle.

Erro 2 — Subestimar sistemas legados de chão de fábrica. Aquele controlador de balança PLC dos anos 90 que funciona perfeito. Ninguém quer mexer. Mas se o auditor pede a evidência de que está calibrado e auditável, e você não tem, é achado.

Erro 3 — Ignorar fornecedores de calibração. Balanças industriais são calibradas por terceirizadas. Quem garante que a calibração é confiável? Quem audita o auditor? Em SOX, a cadeia de confiança precisa ser comprovada.

Erro 4 — Não testar BCP (continuidade). Indústria pesada para tudo se o sistema crítico cai. Plano de continuidade de TI/OT precisa ser testado anualmente. Empresa que não testou perde 2-3 dias de produção no incidente real, com prejuízo de R$ 4-15 milhões em dia.

Próximos 90 dias para o responsável em indústria

Roteiro pragmático para CIO ou diretor de TI/OT em indústria pesada com SOX em vista:

Semana 1-3: alinhamento com engenharia industrial. Define responsabilidade compartilhada por OT. Sem esse acordo formal, programa não sai do papel.

Semana 4-8: mapa de integração TI-OT. Workshop com cada equipe. Documentação de cada fluxo de dados que termina em financeiro. Identificação dos pontos sem controle.

Semana 9-11: implantação de reconciliação física × contábil mensal. Definição de tolerância, processo de explicação de variação, fluxo de aprovação. Treinamento do controller e do gerente fabril.

Semana 12-13: teste interno com amostra de 20 dias de produção. Comprove que consegue rastrear cada lote do chão de fábrica até a receita contabilizada. Documente. Esse é o controle mais convincente que você pode mostrar ao auditor.

Custo total estimado: R$ 120-280 mil em horas internas e ferramenta básica de reconciliação. Retorno: redução estrutural do risco de ressalva material e visibilidade real sobre integridade do faturamento.