SOX foi construído para humanos. A IA não se encaixa nesse modelo.
Por mais de duas décadas, as estruturas de conformidade e garantia se basearam em uma suposição simples: as decisões materiais são tomadas por pessoas. O restabelecimento da garantia pós-Sarbanes-Oxley (SOX) funcionou porque alinhou a responsabilidade ao comportamento humano. Essa suposição molda como os controles internos são projetados, como a responsabilidade é atribuída e como a garantia é entregue.
O impacto da IA nos modelos de conformidade
Os controles cercam o julgamento humano. A documentação explica o raciocínio humano. Os mecanismos de escalonamento assumem que um indivíduo ou função específica pode ser identificado, questionado e responsabilizado quando decisões são questionadas.
A inteligência artificial (IA) está lentamente desestabilizando esse modelo, não eliminando controles, mas introduzindo julgamento não humano nos ambientes de controle, com o design de governança claramente defasado.
Uma suposição de design não revisitada
O restabelecimento da garantia pós-SOX funcionou porque alinhou a responsabilidade ao comportamento humano. As afirmações de gestão, a documentação de controle, os trilhos de auditoria e os processos de remediação assumiram que as decisões se originavam de operadores identificáveis dentro de funções definidas. Esse design da SOX se manteve, mesmo diante das crises subsequentes, porque, em última análise, o julgamento permaneceu humano, mesmo quando falho.
A IA altera o ponto de origem.
Conforme os sistemas automatizados influenciam cada vez mais previsões, análises, aprovações de transações e interpretações de contratos, o julgamento não reside exclusivamente com as pessoas. Ele está embutido nos dados de treinamento, na lógica dos modelos, nos limites e no tratamento de exceções, frequentemente muito antes de as funções de conformidade ou auditoria serem acionadas. No entanto, a estrutura de controle permanece em grande parte inalterada.
A tensão entre controle e julgamento
Hoje, muito da discussão em torno da IA e da conformidade se concentra na extensão das estruturas existentes. Os profissionais exploram testes contínuos da SOX, cobertura de controle expandida, documentação melhorada e princípios de IA responsável para manter os sistemas auditáveis. Esses esforços são importantes. Eles mostram uma profissão que está progressivamente e ativamente adaptando suas ferramentas. No entanto, grande parte desse discurso parte de uma premissa não contestada: que o próprio modelo de garantia permanece sólido e a IA simplesmente precisa ser governada dentro dele.
O que recebe menos atenção é se essa premissa ainda se sustenta.
As estruturas pós-SOX assumem que as decisões podem ser documentadas, questionadas, escalonadas e atribuídas a um operador ou função. A IA complica isso não porque carece de controles, mas porque embute um julgamento que é distribuído, probabilístico e muitas vezes opaco por design. Estender os controles pode melhorar a cobertura, mas não resolve a incompatibilidade subjacente entre como as decisões são tomadas e como a responsabilidade tem sido tradicionalmente aplicada.
Implicações e riscos
Quando o julgamento se move, mas os controles permanecem inalterados, muitas organizações introduzem sistemas de IA como ferramentas de eficiência, em vez de decisões de governança. A velocidade, a consistência e a escala são priorizadas. Os controles são avaliados após a implantação. A garantia é esperada a montante. As equipes de conformidade e auditoria são solicitadas a validar resultados sem visibilidade sobre o julgamento embutido nos sistemas que os produziram. O teste de controle confirma a execução, mas a explicação se torna mais difícil.
Quando surgem questionamentos durante revisões internas, investigações regulatórias ou discussões em conselhos, o problema raramente é enquadrado como um problema de design do sistema. Tornou-se um problema de responsabilidade. Quem é o responsável pela decisão quando nenhuma pessoa única a tomou?
Essa tensão não reflete uma falha da SOX. É um reflexo de suas limitações de design. Os controles da era SOX assumem tomadores de decisão humanos, raciocínio explicável e propriedade baseada em funções. A IA introduz uma tomada de decisão que é distribuída, adaptativa e difícil de interpretar em termos humanos.
Conclusão
Se as estruturas de governança não evoluírem juntamente com a implantação, as organizações correm o risco de operar ambientes de controle que parecem robustos, mas carecem de visibilidade sobre como as decisões são tomadas. Nesse cenário, as funções de conformidade e auditoria herdam responsabilidade sem autoridade e se tornam responsáveis por resultados moldados por lógicas que não podem ser completamente interrogadas.
O risco não é a automação em si. É permitir que o julgamento migre para modelos de IA enquanto as suposições de governança permanecem ancoradas em modelos de tomada de decisão humana.
As falhas de confiança no passado foram acionadas por momentos em que as estruturas existentes não puderam mais explicar como as decisões foram tomadas ou defendidas sob escrutínio. A IA ainda não produziu uma crise definidora, mas as condições que desafiam a responsabilidade, a explicabilidade e a propriedade já estão em vigor.
Para líderes de conformidade, risco e auditoria, a questão não é mais se a IA se expandirá. Ela se expandirá. A questão mais urgente é se as suposições de governança serão revisitadas antes que sejam testadas. Se as estruturas de garantia não puderem explicar como as decisões são feitas, não poderão defendê-las. E quando a confiança é questionada, explicações e não eficiência são o que realmente importa.
