KPMG: guia prático para governança de IA em relatórios financeiros

Segundo pesquisa global da KPMG publicada em 2024, 72% das empresas já estão pilotando ou usando IA em relatórios financeiros, é a adoção deve chegar a 99% nos próximos três anos. Ao mesmo tempo, 92% das empresas reportam que suas iniciativas de IA em finanças estão atendendo ou superando expectativas de ROI. Os números são animadores -- mas trazem um risco menos visível: a maioria dessas empresas não têm governança adequada sobre como a IA está sendo usada no processo de reporting.

A KPMG publicou guias detalhados sobre governança de IA em relatórios financeiros ao longo de 2024 e 2025, combinando seu framework Trusted AI de 10 pilares com o framework COSO de controles internos. Neste post, traduzimos esse material para ações práticas.

Por que governança de IA em reporting e urgente

O processo de relatórios financeiros é um dos mais regulados de qualquer empresa. Ele gera as demonstrações financeiras que serão auditadas, publicadas e usadas por investidores, reguladores e credores para tomar decisões. Quando a IA entra nesse processo -- é ela já está entrando --, os riscos mudam de natureza:

• Risco de erro material: um modelo que classifica lançamentos contábeis incorretamente pode distorcer as demonstrações financeiras.
• Risco de vieses sistemáticos: diferente de erros humanos (que tendem a ser aleatorios), erros de modelos de IA são sistemáticos -- se o modelo erra, ele erra da mesma forma toda vez, amplificando o impacto.
• Risco de opacidade: quando um humano faz um lançamento, outro humano pode revisar a lógica. Quando um modelo de IA faz um lançamento, a lógica pode ser opaca até para a equipe técnica.
• Risco regulatório: reguladores e auditores vão perguntar como a IA está sendo usada no processo de reporting. Sem governança documentada, a empresa esta exposta.

A KPMG identifica três níveis de maturidade na adoção de IA em finanças: Beginners (24%), Implementers (52%) e Leaders (24%). A diferença entre implementers e leaders não está na tecnologia -- está na governança.

O framework da KPMG: 10 pilares do Trusted AI

O Trusted AI da KPMG organiza a governança de IA em 10 pilares éticos que cobrem todo o ciclo de vida do modelo. Para cada pilar, a KPMG define riscos específicos e controles recomendados:

1. Transparência: os stakeholders entendem como a IA está sendo usada no processo financeiro? Existe documentação acessível?
2. Explicabilidade: as decisões e outputs da IA podem ser explicados em termos compreensiveis para auditores e reguladores?
3. Accountability: existe um "dono" designado para cada modelo de IA em uso no reporting? Quem responde quando algo da errado?
4. Integridade de dados: os dados que alimentam os modelos são completos, precisos e atualizados? Existe validação na entrada?
5. Confiabilidade: os modelos produzem resultados consistentes e corretos ao longo do tempo? Existe monitoramento contínuo?
6. Segurança: os modelos e seus dados estão protegidos contra acessos não autorizados e manipulação?
7. Segurança operacional (Safety): os modelos operam dentro de limites seguros? Existem mecanismos de fallback quando o modelo falha?
8. Privacidade: dados pessoais são tratados conforme regulamentações (LGPD, GDPR)? O uso de dados esta limitado ao propósito declarado?
9. Sustentabilidade: o impacto ambiental e social da IA está sendo considerado? Os modelos são eficientes no uso de recursos computacionais?
10. Equidade (Fairness): os modelos tratam todos os stakeholders de forma justa? Existem testes para detectar vieses?

O framework esta alinhado com frameworks de referência como ISO 42001, o NIST AI Risk Management Framework é o EU AI Act, o que facilita a adoção por empresas que já trabalham com esses padrões.

Três camadas de controle: entidade, processo e TI

Além dos 10 pilares, a KPMG organiza os controles sobre IA em reporting financeiro usando o framework COSO, que divide controles em três camadas:

Controles de nível de entidade (Entity-Level Controls)

São os controles organizacionais de mais alto nível que estabelecem o tom é a estrutura de governança:

• Tone at the top: a liderança (CFO, comite de auditoria, conselho) deve definir e comunicar expectativas claras sobre o uso de IA em reporting.
• Politica de IA: a organização deve ter uma política formal que defina o que é permitido, o que requer aprovação é o que é proibido no uso de IA em processos financeiros.
• Treinamento: equipes financeiras devem ser treinadas sobre os riscos e controles específicos de ferramentas de IA que utilizam.
• Estrutura de governança: deve haver um comite ou responsável dedicado a governança de IA, com autoridade para aprovar, modificar ou descontinuar modelos.

Exemplo prático: antes de adotar uma ferramenta de IA para classificação automática de lançamentos contábeis, o controller deve submete-lá a um processo formal de aprovação que avalie riscos, controles e impacto no processo de reporting.

Controles de nível de processo (Process-Level Controls)

São os controles operacionais dentro de cada processo financeiro que utiliza IA:

• Validação de inputs: os dados que entram no modelo devem ser validados quanto a completude e acurácia antes do processamento. Dados incompletos ou incorretos geram outputs igualmente comprometidos.
• Revisão de outputs: toda saída de modelo de IA que afeta demonstrações financeiras deve ser revisada por um humano qualificado antes de ser registrada. A IA sugere; o humano decide.
• Reconciliação: outputs de IA devem ser reconciliados com fontes independentes. Se o modelo classifica lançamentos automaticamente, os totais devem bater com o razão geral.
• Tratamento de exceções: deve haver um processo definido para tratar casos em que o modelo não consegue classificar ou processar uma transação (fallback para processamento humano).
• Monitoramento de performance: métricas de acurácia e taxa de erro devem ser monitoradas continuamente, com alertas quando ultrapassam limites aceitáveis.

Exemplo prático: uma empresa que usa IA para estimativa automática de provisão para devedores duvidosos (PCLD) deve comparar a estimativa do modelo com a análise manual de uma amostra a cada fechamento, documentando as diferenças.

Controles de TI (IT General Controls)

São os controles sobre a infraestrutura tecnológica que suporta os modelos de IA:

• Gestão de mudanças: alterações em modelos de IA (retreinamento, ajuste de parametros, atualização de versão) devem seguir um processo formal de change management, com aprovação, teste e documentação.
• Controle de acesso: quem pode alterar modelos, treinar modelos, acessar dados de treinamento e alterar outputs deve ser rigidamente controlado.
• Avaliação de terceiros: quando a IA e fornecida por um terceiro (SaaS, API), a empresa deve avaliar a confiabilidade do fornecedor e estabelecer contratos que governem escopo, proteção de dados e responsabilidades.
• Backup e recuperação: modelos e dados devem ter procedimentos de backup. Se um modelo corrompe ou uma versão apresenta problemas, deve ser possível reverter para a versão anterior.
• Logging e trilha de auditoria: toda inferência do modelo deve ser registrada com timestamp, dados de entrada, saída produzida e versão do modelo utilizada.

Exemplo prático: quando o fornecedor de uma ferramenta de conciliação automática atualiza o modelo de ML, a equipe de TI deve testar a nova versão em um ambiente de homologação antes de coloca-lá em produção, documentando os resultados dos testes.

Da teoria a prática: roteiro de implementação

Para equipes financeiras que precisam estruturar governança de IA em reporting, a KPMG sugere uma abordagem gradual:

Fase 1: Inventario (semanas 1-4)

Identifique todas as ferramentas de IA em uso ou em consideração no processo de reporting financeiro. Inclua ferramentas óbvias (modelos de ML dedicados) e menos óbvias (funções de IA embutidas em ERPs, ferramentas de produtividade com copilots de IA, planilhas com funções de IA).

Muitas equipes se surpreendem com a quantidade de IA já em uso quando fazem esse inventário sistematicamente.

Fase 2: Avaliação de riscos (semanas 5-8)

Para cada ferramenta identificada, avalie o risco usando os 10 pilares do Trusted AI. Priorize: ferramentas que afetam diretamente números das demonstrações financeiras têm risco maior do que ferramentas usadas para tarefas auxiliares.

Fase 3: Definicao de controles (semanas 9-12)

Defina controles nas três camadas (entidade, processo e TI) para cada ferramenta de risco significativo. Use os exemplos deste post como ponto de partida e adapte a realidade da sua organização.

Fase 4: Implementação e documentação (semanas 13-20)

Implemente os controles definidos e documente-os. A documentação deve ser suficiente para que um auditor externo entenda quais ferramentas de IA são usadas, quais riscos foram identificados e quais controles estão em vigor.

Fase 5: Monitoramento contínuo (ongoing)

Estabeleça cadência de monitoramento: métricas de performance dos modelos (mensal), revisão de controles (trimestral), atualização do inventário (semestral), revisão do framework completo (anual).

Erros comuns a evitar

Com base nós guias da KPMG e na experiência de mercado, estes são os erros mais frequentes na governança de IA em reporting:

• Ignorar a IA "invisível": muitas ferramentas já têm IA embutida (ERPs, ferramentas de analytics, copilots). Se você não incluiu elas no inventário, têm um ponto cego na governança.
• Confiar na IA sem validação: "o modelo têm 98% de acurácia" não é controle. Controle e verificar os outputs contra uma fonte independente em base regular.
• Delegar governança para TI: governança de IA em reporting e responsabilidade da área financeira, com apoio de TI. O CFO é o controller precisam estar envolvidos, não apenas informados.
• Não documentar: se não esta documentado, não existe para fins de auditoria. Documente políticas, procedimentos, resultados de testes e decisões de aprovação.

O que levar deste post

1. Faça um inventário completo de todas as ferramentas de IA em uso no processo de reporting financeiro -- incluindo IA embutida em ERPs e ferramentas de produtividade.
2. Estabeleça controles nas três camadas (entidade, processo e TI) para cada ferramenta de IA de risco significativo, usando o framework COSO como estrutura.
3. Designe um "dono" para cada modelo de IA em uso no reporting, com responsabilidade explicita por performance, conformidade e governança.
4. Implemente revisão humana de todos os outputs de IA que afetam demonstrações financeiras -- a IA sugere, o humano decide.
5. Documente tudo: políticas, controles, resultados de testes e decisões de aprovação. Se não esta documentado, não existe para fins de auditoria.