CFO precisa entender ITGC tecnicamente?

Não. CFO precisa entender em alto nível o que cada categoria de controle protege e qual é o sintoma de falha. Conhecimento técnico fica no CIO. Mas CFO precisa fazer as perguntas certas e ler os indicadores certos. Quem terceiriza completamente para o CIO assume risco pessoal alto quando dá problema.

Quanto tempo um CFO deve dedicar mensalmente ao SOX?

Em ciclo normal: 4-8 horas mensais entre reuniões com CIO, comitê de auditoria, leitura de indicadores e revisão de gaps. Em ciclo de remediação ativa: 16-30 horas mensais. Em ciclo pré-auditoria externa: pode chegar a 40-60 horas. Empresa madura tem ciclo previsível; empresa imatura vive em crise constante.

Como CFO sinaliza ao CIO que SOX é prioridade?

Reuniões mensais agendadas no calendário com duração fixa. Indicadores cobrados e revisados em cada reunião. Apoio orçamentário consistente, não eventual. Reconhecimento público quando há marco. CIO percebe rapidamente se o CFO está realmente engajado ou se está apenas cumprindo formalidade.

SOX para CFO: liderança sem ser técnico

Guia prático para CFO: o que entender, perguntas certas, métricas e roteiro de 90 dias.

Esse artigo é para CFO que herdou SOX e não é técnico. Você não precisa entender o que é um trigger de banco de dados. Mas precisa saber fazer as perguntas certas, ler os indicadores certos e cobrar as evidências certas. Senão fica refém do CIO — e CFO refém em SOX vira CFO substituído.

O que CFO precisa realmente entender

[Conteúdo do tópico "O que CFO precisa realmente entender" — desenvolver com 350-450 palavras. Voz: brutalmente honesto, exemplos em R$, casos brasileiros, sem hype. Anderson Chipak primeira pessoa.]

Perguntas-chave que CFO deve fazer

Em reunião mensal com CIO sobre SOX, perguntas que sempre faço pelo CFO:

"Quais controles testamos esse mês e qual o resultado?" Resposta esperada: 4-8 controles testados, com 1-3 achados, com plano de remediação para cada. Resposta vazia ou genérica = programa não está vivo.

"Quais ressalvas anteriores estão fechadas e quais ainda não?" CFO precisa saber o status de cada gap conhecido. Ressalva anterior aberta na próxima auditoria vira material automaticamente.

"Quais novos sistemas entraram em produção esse trimestre? Foram avaliados para SOX?" Tudo o que entra em produção pode tocar dado financeiro. Avaliação prévia evita surpresa no próximo ciclo.

"Estamos prontos para auditoria amanhã se o auditor pedir 10 evidências aleatórias?" Pergunta-chave. Resposta honesta dá nota real da maturidade do programa.

"Qual é a próxima ameaça regulatória ou tecnológica que pode nos afetar?" CIO bom antecipa. CIO reativo entrega problemas. Pergunta diferencia os dois.

Métricas que CFO olha (e as que deveria olhar)

Métricas tradicionais de SOX que CFO frequentemente vê: número de controles, número de deficiências, % de remediação. Importante, mas pobre.

Métricas que deveriam estar no relatório mensal:

Tempo médio para produzir evidência: em quanto tempo a TI gera comprovante quando alguém pede. Programa maduro: 24-48h. Programa imaturo: dias ou semanas.
Cobertura de testes internos: % de controles testados no trimestre. Meta: 25% por trimestre, 100% por ano.
Idade média da documentação: documentação revisada nos últimos 12 meses divide pelo total. Acima de 80% é saudável.
Tempo de fechamento de gap: da identificação até o controle restaurado. Programa maduro: 30-60 dias. Programa em apuros: 6+ meses.
Custo de SOX como % de receita: benchmark. Empresa madura: 0,15-0,4%. Empresa em apuros: 0,8%+.

Esses indicadores transformam SOX de evento anual em gestão contínua. Quando você pergunta por eles, sinaliza ao time o que importa.

Comunicando com peers e board

SOX não é assunto técnico no board. É assunto de governança e risco corporativo. Apresentação técnica afasta. Apresentação de risco prende atenção.

O que funciona em board:

Status em uma página, formato semáforo. Verde, amarelo, vermelho por domínio (acessos, mudanças, operação, segurança). Conselheiro lê em 30 segundos.
Top 3 riscos do trimestre. Não lista de 20 itens. Os três que mais ameaçam a posição.
Comparação com pares. "Estamos no quartil superior" ou "estamos abaixo da média do setor" calibra expectativa.
Plano dos próximos 90 dias. Cinco ações específicas, com responsável e prazo.

Apresentação técnica perde a sala em 5 minutos. Apresentação de governança ganha credibilidade. CFO que domina essa narrativa vira interlocutor confiável do board — e isso protege a posição.

Caso real: a decisão de um CFO

CFO de empresa industrial, R$ 1,8 bilhão de receita, capital aberto. SOX em vigência há 6 anos. Sempre passou. No sétimo ano, primeiro ano dele no cargo, recebeu sinalização do auditor de potencial deficiência material em ITGC.

Decisão crítica: contratar consultoria especializada para acelerar remediação (R$ 600 mil em 4 meses) ou confiar no time interno (custo zero direto, prazo incerto).

Optou pela consultoria. Justificativa ao conselho: custo de R$ 600 mil é fração do impacto de ressalva pública. Ação caiu 6,2% no dia em que rumor vazou; remediação preventiva preserva mais valor que economiza.

Resultado: deficiência fechada em 11 semanas. Auditor não converteu em ressalva. Empresa não teve impacto reputacional. Conselho aprovou a decisão.

Lição: CFO experiente em SOX gerencia probabilidade × impacto. Quando o impacto é grande e a probabilidade é razoável, investe em mitigação, não economiza. Quem trata SOX como custo a minimizar paga depois — em ressalva, queda de ação, e frequentemente em substituição de liderança.

Roteiro de 90 dias para CFO

[Conteúdo do tópico "Roteiro de 90 dias para CFO" — desenvolver com 350-450 palavras. Voz: brutalmente honesto, exemplos em R$, casos brasileiros, sem hype. Anderson Chipak primeira pessoa.]