Risk Advisory

Lei Sarbanes-Oxley (SOX) 302/404 — Avaliação e Testes de ICFR

Lei Sarbanes-Oxley (SOX) 302/404 — Avaliação e Testes de ICFR
Conformidade regulatória com SEC/PCAOB: escopo por risco (TDRA), testes de design & operating, ITGC/IPE, avaliação de deficiências e remediação — prontos para o 404(a)/(b).

Implementamos e validamos ICFR segundo SOX 302/404 e PCAOB AS 2201: do top-down risk assessment à execução de testes, classificação de deficiências, remediação com PMO e coordenação com o auditor externo.

Por que agora:

→ 404(a)/(b): avaliação anual do ICFR (e atestado do auditor para emissores acelerados).
→ 302 trimestral: CEO/CFO certificam desenho/eficácia, mudanças e deficiências.
→ Pressão por evidência rastreável (ITGC, IPE/Key Reports) e redução de retrabalho no 404(b).

O que entregamos (pacote “audit-ready”)

• TDRA (Top-Down Risk Assessment): materialidade, significant locations, significant accounts/assertions, risco de fraude.
• Design & Documentação: narrativas/fluxos e RCMs por asserção, mapeando IPE/Key Reports (completude e acurácia).
• ITGC & Aplicativos: acessos, mudanças, operações; SoD; controles de aplicativos críticos.
• Testes (Design & Operating): walkthroughs, amostragens, reperformance; evidências com tie-out ao AS 2201.
• Deficiências & Disclosure: classificação (deficiency / significant / material weakness) e recomendações.
• Remediação (PMO): ações, owners, prazos e retestes até “verde”.
• Governança 302: playbook trimestral de sub-certificações e comitê de disclosure.

Como funciona

Kickoff e planejamento → TDRA → desenho/documentação → testes → avaliação de deficiências → plano de remediação (PMO) → retestes → suporte ao 404(a)/(b) e 302. Sprints, checkpoints e comunicação executiva.

O que auditamos (exemplos)

• O2C, P2P, R2R, Receita/Reconhecimento, Tesouraria, Estoques/Ativo Fixo, Impostos
• ITGC & Apps: acessos, mudanças, operações; interfaces, jobs, relatórios críticos; SoD e trilhas.

Entregáveis

• RCMs completos
• Programas de teste
• Issues log (severidade/impacto)
• Plano de remediação com marcos
• Pacote 404(a) (gestão) e coordenação 404(b) (auditor)
• Dossiê de evidências (walkthroughs, amostras, IPE)

Nossos diferenciais

→ Padrões SEC/PCAOB AS 2201 na prática.
→ IPE/Key Reports sem ponto cego.
→ ITGC robusto e integrável a COBIT.
→ Automação/GRC e continuous monitoring para eficiência.
→ Governança 302 trimestral (muito ignorada pelo mercado).

Perguntas frequentes (FAQ)

Minha subsidiária no Brasil entra em SOX?

404(a): avaliação anual pela gestão. 404(b): atestado do auditor externo (emissores acelerados).

Diferença entre 404(a) e 404(b)?

404(a): avaliação anual pela gestão. 404(b): atestado do auditor externo (emissores acelerados).

O que é 302?

Certificação trimestral de CEO/CFO sobre desenho/eficácia, mudanças e deficiências relevantes.

Vocês coordenam com o auditor 404(b)?

Sim. Trabalhamos no padrão AS 2201 para reduzir retrabalho e acelerar o “buy-in”.

Preciso refazer meus controles?

Realizamos TDRA; onde houver gaps, entregamos design/documentação e remediação (PMO) com retestes.

Entre em contato com a EPC Experts e saiba mais

Solicitar proposta

Lei Sarbanes-Oxley (SOX) 302/404 — Avaliação e Testes de ICFR