A lacuna que a avaliação interna não consegue fechar

Ter controles documentados não é o mesmo que ter controles suficientes para o mercado em que você opera. É uma distinção que parece óbvia, quando dita assim, mas que pouquíssimas organizações colocam em prática.

O problema não é má-fé nem negligência, mas sistêmico. Quando uma equipe avalia seus próprios controles sem referência externa, a tendência natural é validar o que já existe.

O viés de confirmação é inevitável: os controles foram desenhados por alguém, aprovados por alguém, e testados por alguém que também os aprovou. A pergunta "estamos bem?" raramente encontra resposta negativa nesse ciclo.

LEIA TAMBÉM: Um guia completo para implementar uma Matriz de Segregação de Funções em 2026

O mercado deixa isso claro em números:

• 39% das auditorias de ITGC identificam lacunas ou problemas de evidência que a equipe interna não havia detectado — quase 4 em cada 10.

• Mais de 60% dos relatórios adversos de fraqueza material são de empresas reincidentes — organizações que já haviam reportado o problema anteriormente e não conseguiram remediá-lo de forma definitiva.

• Nos últimos dois anos, esse índice de reincidência subiu para quase 70%.

O padrão de reincidência é o sinal mais claro de que algo está errado na abordagem. Sem referência de mercado, as empresas tendem a corrigir o sintoma — o controle específico que o auditor apontou — sem entender se o nível geral dos seus controles está estruturalmente abaixo do que empresas comparáveis mantêm. O problema reaparece no próximo ciclo porque a causa raiz nunca foi endereçada.

O que os relatórios 10-K e 20-F revelam, e por que isso importa para o CTO

Os formulários 10-K e 20-F são os relatórios anuais que empresas de capital aberto registradas na SEC são obrigadas a apresentar.

Sob o SOX 404, esses documentos precisam incluir uma avaliação formal da eficácia dos controles internos sobre o reporte financeiro assinada pela gestão e, no caso de grandes companhias, atestada por auditores externos independentes.

Isso significa que milhares de empresas, todos os anos, declaram publicamente onde seus controles falharam, quais fraquezas materiais foram identificadas e quais medidas estão sendo tomadas para remediá-las.

É a base de dados regulatória mais rica e confiável disponível para benchmarking de controles — e está acessível a qualquer organização que saiba como usá-la.

As fraquezas materiais em controles de TI seguem um padrão consistente. As 5 categorias mais frequentes reportadas à SEC são:

• Controle de acesso lógico insuficiente — permissões excessivas, contas não desativadas após desligamento, ausência de revisão periódica de acessos.

• Gestão de mudanças em sistemas deficiente — alterações em sistemas financeiros sem aprovação formal ou trilha de auditoria adequada.

• Controles gerais de TI fracos — ausência de políticas e procedimentos padronizados cobrindo o ambiente tecnológico crítico.

• Problemas de integridade de dados — inconsistências entre sistemas, ausência de validação de entrada e falta de reconciliação automatizada.

• Monitoramento de TI insuficiente — ausência de alertas, logs inadequados e falta de supervisão contínua sobre eventos críticos.

Conhecer esse padrão não é suficiente. O que transforma essa informação em vantagem competitiva é saber como sua organização se posiciona em relação a ele — especificamente, em relação a empresas do seu setor, do seu porte e com o mesmo perfil regulatório.

LEIA TAMBÉM: GRC para holdings e grupos econômicos: lições das falhas do Will Bank e do Caso Banco Master

Essa é precisamente a responsabilidade do CTO.

Sob o SOX 404, os controles de TI não são uma camada periférica de suporte ao compliance financeiro, são a espinha dorsal do reporte financeiro. CEO e CFO assinam a certificação, mas a integridade dos dados que sustentam essa assinatura depende da qualidade dos controles que a TI mantém.

E o escopo está crescendo. Em 2025, 72% das empresas do S&P 500 declararam pelo menos um risco material relacionado à IA nos seus relatórios anuais, contra apenas 12% em 2023.

O perfil de risco de TI está se expandindo em velocidade que os controles tradicionais não acompanham. O CTO que espera o auditor sinalizar esse gap já está em posição reativa.

Benchmarking regulatório: o que muda quando você compara com dados reais

Benchmarking de riscos com base em dados regulatórios não é comparar sua empresa com um framework genérico. É comparar com o que empresas reais — do seu setor, do seu porte, com o mesmo perfil de auditoria — estão efetivamente reportando à SEC.

A diferença prática é significativa:

• Frameworks genéricos dizem o que você deveria ter. Benchmarking regulatório mostra o que empresas comparáveis já estão mantendo — e onde estão falhando.

• Avaliação interna responde "nossos controles estão funcionando?". Benchmarking responde "nossos controles estão no nível que o mercado e os reguladores esperam de uma empresa como a nossa?".

• Análise de riscos isolada mapeia o que a equipe conhece. Benchmarking expõe riscos emergentes que empresas do seu setor já estão reportando — e que você ainda não mapeou.

Esse último ponto é onde o valor se concentra. Quando uma empresa do seu setor declara uma fraqueza material em controles de acesso a sistemas financeiros, isso não é apenas informação sobre ela, mas um sinal sobre o que auditores estão priorizando no próximo ciclo do seu mercado.

Identificar esse padrão antes da auditoria transforma benchmarking em argumento técnico, não em exercício acadêmico.

A qualidade dessa inteligência define a diferença entre chegar ao comitê de auditoria com embasamento de mercado — "nossos controles estão acima da média do setor neste ponto, e abaixo neste outro" — ou chegar com avaliação subjetiva que o auditor externo vai questionar.

O que o VX entrega: diagnóstico de postura de risco sem consultoria

O módulo de Benchmarking de Riscos do VX foi construído sobre uma base com mais de 5.600 empresas globais, integrada diretamente a relatórios 10-K e 20-F arquivados na SEC. O resultado é acesso estruturado à inteligência regulatória que antes exigia meses de trabalho de consultoria especializada — ou simplesmente não estava disponível de forma organizada.

Na prática, o que muda:

• Consulta por setor, porte e estrutura de controle — compare sua postura com empresas que operam no mesmo ambiente regulatório que você.

• Identificação de Material Weaknesses declaradas por concorrentes — saiba onde empresas comparáveis estão falhando antes que o auditor questione os mesmos pontos nos seus controles.

• Visualização de controles mitigatórios adotados por pares — não apenas o risco, mas o que empresas maduras estão fazendo para mitigá-lo.

• Embasamento técnico para discussões com Big4 e comitê de auditoria — dados reais de mercado em vez de avaliação interna sem referência externa.

Combinado ao módulo de RCM — Risk and Control Management — o benchmarking deixa de ser um diagnóstico pontual e se torna parte de um ciclo contínuo: risco identificado → controle desenhado com referência de mercado → teste executado → evidência registrada → rastreabilidade garantida para qualquer nível de escrutínio.

O que muda na prática para o CTO é a postura. Em vez de preparar a equipe para responder ao que o auditor vai encontrar, você chega à auditoria com visibilidade sobre onde está — e com evidência de que os controles críticos estão alinhados ao que o mercado mantém.

Conclusão

O benchmarking de riscos não é um exercício comparativo, mas a resposta objetiva para a pergunta que nenhuma avaliação interna consegue responder sozinha: seus controles estão no nível certo para o mercado em que você opera?

O padrão de reincidência em fraquezas materiais mostra o custo de não ter essa referência. Empresas que corrigem o que o auditor aponta, sem entender onde estão em relação ao mercado, repetem o ciclo. As que chegam com benchmarking real chegam com diagnóstico e constroem governança.

O que as maiores empresas do seu setor já estão reportando à SEC sobre controles de TI e o que isso diz a respeito do estágio em que seu negócio está?

Com VX, o benchmarking estruturado é realizado na velocidade da IA. Com a aplicação de filtros e critérios de extração de dados, é possível consultar informações de negócio detalhadas para o seu caso.

O benchmarking é um referencial estruturado das melhores práticas de todos os segmentos. Inclusive o seu.  

Conheça o módulo de Benchmarking de Riscos do VX e compare seu cenário de controles com as empresas do mundo.