KPMG: guia pratico para governanca de IA em relatorios financeiros

Segundo pesquisa global da KPMG publicada em 2024, 72% das empresas já estão pilotando ou usando IA em relatorios financeiros, e a adocao deve chegar a 99% nos próximos tres anos. Ao mesmo tempo, 92% das empresas reportam que suas iniciativas de IA em finanças estão atendendo ou superando expectativas de ROI. Os numeros são animadores -- mas trazem um risco menos visivel: a maioria dessas empresas não tem governanca adequada sobre como a IA esta sendo usada no processo de reporting.

A KPMG publicou guias detalhados sobre governanca de IA em relatorios financeiros ao longo de 2024 e 2025, combinando seu framework Trusted AI de 10 pilares com o framework COSO de controles internos. Neste post, traduzimos esse material para acoes praticas.

Por que governanca de IA em reporting e urgente

O processo de relatorios financeiros e um dos mais regulados de qualquer empresa. Ele gera as demonstracoes financeiras que serão auditadas, publicadas e usadas por investidores, reguladores e credores para tomar decisões. Quando a IA entra nesse processo -- e ela já esta entrando --, os riscos mudam de natureza:

• Risco de erro material: um modelo que classifica lançamentos contabeis incorretamente pode distorcer as demonstracoes financeiras.
• Risco de vieses sistematicos: diferente de erros humanos (que tendem a ser aleatorios), erros de modelos de IA são sistematicos -- se o modelo erra, ele erra da mesma forma toda vez, amplificando o impacto.
• Risco de opacidade: quando um humano faz um lancamento, outro humano pode revisar a logica. Quando um modelo de IA faz um lancamento, a logica pode ser opaca até para a equipe tecnica.
• Risco regulatorio: reguladores e auditores vão perguntar como a IA esta sendo usada no processo de reporting. Sem governanca documentada, a empresa esta exposta.

A KPMG identifica tres niveis de maturidade na adocao de IA em finanças: Beginners (24%), Implementers (52%) e Leaders (24%). A diferenca entre implementers e leaders não esta na tecnologia -- esta na governanca.

O framework da KPMG: 10 pilares do Trusted AI

O Trusted AI da KPMG organiza a governanca de IA em 10 pilares eticos que cobrem todo o ciclo de vida do modelo. Para cada pilar, a KPMG define riscos especificos e controles recomendados:

1. Transparencia: os stakeholders entendem como a IA esta sendo usada no processo financeiro? Existe documentação acessivel?
2. Explicabilidade: as decisões e outputs da IA podem ser explicados em termos compreensiveis para auditores e reguladores?
3. Accountability: existe um "dono" designado para cada modelo de IA em uso no reporting? Quem responde quando algo da errado?
4. Integridade de dados: os dados que alimentam os modelos são completos, precisos e atualizados? Existe validação na entrada?
5. Confiabilidade: os modelos produzem resultados consistentes e corretos ao longo do tempo? Existe monitoramento continuo?
6. Seguranca: os modelos e seus dados estão protegidos contra acessos não autorizados e manipulacao?
7. Seguranca operacional (Safety): os modelos operam dentro de limites seguros? Existem mecanismos de fallback quando o modelo falha?
8. Privacidade: dados pessoais são tratados conforme regulamentacoes (LGPD, GDPR)? O uso de dados esta limitado ao proposito declarado?
9. Sustentabilidade: o impacto ambiental e social da IA esta sendo considerado? Os modelos são eficientes no uso de recursos computacionais?
10. Equidade (Fairness): os modelos tratam todos os stakeholders de forma justa? Existem testes para detectar vieses?

O framework esta alinhado com frameworks de referencia como ISO 42001, o NIST AI Risk Management Framework e o EU AI Act, o que facilita a adocao por empresas que já trabalham com esses padroes.

Tres camadas de controle: entidade, processo e TI

Além dos 10 pilares, a KPMG organiza os controles sobre IA em reporting financeiro usando o framework COSO, que divide controles em tres camadas:

Controles de nivel de entidade (Entity-Level Controls)

Sao os controles organizacionais de mais alto nivel que estabelecem o tom e a estrutura de governanca:

• Tone at the top: a lideranca (CFO, comite de auditoria, conselho) deve definir e comunicar expectativas claras sobre o uso de IA em reporting.
• Politica de IA: a organização deve ter uma politica formal que defina o que e permitido, o que requer aprovacao e o que e proibido no uso de IA em processos financeiros.
• Treinamento: equipes financeiras devem ser treinadas sobre os riscos e controles especificos de ferramentas de IA que utilizam.
• Estrutura de governanca: deve haver um comite ou responsavel dedicado a governanca de IA, com autoridade para aprovar, modificar ou descontinuar modelos.

Exemplo pratico: antes de adotar uma ferramenta de IA para classificação automatica de lançamentos contabeis, o controller deve submete-la a um processo formal de aprovacao que avalie riscos, controles e impacto no processo de reporting.

Controles de nivel de processo (Process-Level Controls)

Sao os controles operacionais dentro de cada processo financeiro que utiliza IA:

• Validação de inputs: os dados que entram no modelo devem ser validados quanto a completude e acuracia antes do processamento. Dados incompletos ou incorretos geram outputs igualmente comprometidos.
• Revisao de outputs: toda saida de modelo de IA que afeta demonstracoes financeiras deve ser revisada por um humano qualificado antes de ser registrada. A IA sugere; o humano decide.
• Reconciliação: outputs de IA devem ser reconciliados com fontes independentes. Se o modelo classifica lançamentos automaticamente, os totais devem bater com o razao geral.
• Tratamento de excecoes: deve haver um processo definido para tratar casos em que o modelo não consegue classificar ou processar uma transacao (fallback para processamento humano).
• Monitoramento de performance: metricas de acuracia e taxa de erro devem ser monitoradas continuamente, com alertas quando ultrapassam limites aceitaveis.

Exemplo pratico: uma empresa que usa IA para estimativa automatica de provisao para devedores duvidosos (PCLD) deve comparar a estimativa do modelo com a analise manual de uma amostra a cada fechamento, documentando as diferencas.

Controles de TI (IT General Controls)

Sao os controles sobre a infraestrutura tecnologica que suporta os modelos de IA:

• Gestão de mudancas: alteracoes em modelos de IA (retreinamento, ajuste de parametros, atualizacao de versao) devem seguir um processo formal de change management, com aprovacao, teste e documentação.
• Controle de acesso: quem pode alterar modelos, treinar modelos, acessar dados de treinamento e alterar outputs deve ser rigidamente controlado.
• Avaliação de terceiros: quando a IA e fornecida por um terceiro (SaaS, API), a empresa deve avaliar a confiabilidade do fornecedor e estabelecer contratos que governem escopo, protecao de dados e responsabilidades.
• Backup e recuperacao: modelos e dados devem ter procedimentos de backup. Se um modelo corrompe ou uma versao apresenta problemas, deve ser possivel reverter para a versao anterior.
• Logging e trilha de auditoria: toda inferencia do modelo deve ser registrada com timestamp, dados de entrada, saida produzida e versao do modelo utilizada.

Exemplo pratico: quando o fornecedor de uma ferramenta de conciliação automatica atualiza o modelo de ML, a equipe de TI deve testar a nova versao em um ambiente de homologacao antes de coloca-la em produção, documentando os resultados dos testes.

Da teoria a pratica: roteiro de implementação

Para equipes financeiras que precisam estruturar governanca de IA em reporting, a KPMG sugere uma abordagem gradual:

Fase 1: Inventario (semanas 1-4)

Identifique todas as ferramentas de IA em uso ou em consideracao no processo de reporting financeiro. Inclua ferramentas obvias (modelos de ML dedicados) e menos obvias (funcoes de IA embutidas em ERPs, ferramentas de produtividade com copilots de IA, planilhas com funcoes de IA).

Muitas equipes se surpreendem com a quantidade de IA já em uso quando fazem esse inventario sistematicamente.

Fase 2: Avaliação de riscos (semanas 5-8)

Para cada ferramenta identificada, avalie o risco usando os 10 pilares do Trusted AI. Priorize: ferramentas que afetam diretamente numeros das demonstracoes financeiras tem risco maior do que ferramentas usadas para tarefas auxiliares.

Fase 3: Definicao de controles (semanas 9-12)

Defina controles nas tres camadas (entidade, processo e TI) para cada ferramenta de risco significativo. Use os exemplos deste post como ponto de partida e adapte a realidade da sua organização.

Fase 4: Implementação e documentação (semanas 13-20)

Implemente os controles definidos e documente-os. A documentação deve ser suficiente para que um auditor externo entenda quais ferramentas de IA são usadas, quais riscos foram identificados e quais controles estão em vigor.

Fase 5: Monitoramento continuo (ongoing)

Estabeleca cadencia de monitoramento: metricas de performance dos modelos (mensal), revisao de controles (trimestral), atualizacao do inventario (semestral), revisao do framework completo (anual).

Erros comuns a evitar

Com base nos guias da KPMG e na experiencia de mercado, estes são os erros mais frequentes na governanca de IA em reporting:

• Ignorar a IA "invisivel": muitas ferramentas já tem IA embutida (ERPs, ferramentas de analytics, copilots). Se voce não incluiu elas no inventario, tem um ponto cego na governanca.
• Confiar na IA sem validação: "o modelo tem 98% de acuracia" não e controle. Controle e verificar os outputs contra uma fonte independente em base regular.
• Delegar governanca para TI: governanca de IA em reporting e responsabilidade da area financeira, com apoio de TI. O CFO e o controller precisam estar envolvidos, não apenas informados.
• Nao documentar: se não esta documentado, não existe para fins de auditoria. Documente politicas, procedimentos, resultados de testes e decisões de aprovacao.

O que levar deste post

1. Faca um inventario completo de todas as ferramentas de IA em uso no processo de reporting financeiro -- incluindo IA embutida em ERPs e ferramentas de produtividade.
2. Estabeleca controles nas tres camadas (entidade, processo e TI) para cada ferramenta de IA de risco significativo, usando o framework COSO como estrutura.
3. Designe um "dono" para cada modelo de IA em uso no reporting, com responsabilidade explicita por performance, conformidade e governanca.
4. Implemente revisao humana de todos os outputs de IA que afetam demonstracoes financeiras -- a IA sugere, o humano decide.
5. Documente tudo: politicas, controles, resultados de testes e decisões de aprovacao. Se não esta documentado, não existe para fins de auditoria.