COSO e a IA generativa: um roteiro prático para escritórios de contabilidade

Por que esse assunto importa agora

Em fevereiro de 2026 o COSO publicou Achieving Effective Internal Control Over Generative AI — uma orientação prática que adapta o tradicional Internal Control–Integrated Framework à velocidade e aos riscos da IA generativa. Para escritórios contábeis, que lidam diariamente com controles, evidências e confiança, a mensagem é clara: governança de IA deixou de ser opção técnica e virou requisito de controle.

O que o COSO muda no mundo real

O documento mapeia riscos específicos da IA generativa para os cinco componentes do COSO (ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação, monitoramento) e entrega uma rota de implementação em seis passos: estabelecer governança, inventariar casos de uso, avaliar riscos, desenhar controles, implementar e monitorar/adaptar. Isso transforma a conversa de “se vamos usar IA” para “como vamos controlar e auditar o uso de IA”.

Por que isso afeta escritórios contábeis

Escritórios não são apenas usuários de ferramentas: muitas vezes são fornecedores de evidência para clientes, executam automações (conciliadores, classificadores, robôs de nota fiscal) e respondem a fiscalizações. Quando uma automação gera um ajuste contábil ou prioriza uma auditoria, o contador precisa provar o porquê. O COSO fornece um padrão auditável para isso — e auditores e reguladores passarão a esperar documentação nesse formato.

O que está mudando — sinais práticos

• Inventário obrigatório: ferramentas e fluxos que usam IA precisam ser catalogados com finalidade, dados de entrada e responsáveis.
• Controles de checkpoint: outputs relevantes (ajustes fiscais, classificações, recomendações de provisão) devem ter regras que definam quando exigir revisão humana.
• Logs auditáveis: trilhas imutáveis que mostrem versão do modelo, prompt/inputs, score de confiança e decisão final.

Roteiro prático — 6 semanas, prioridade para escritórios médios e grandes

Semana 1 — Governança e inventário
Crie um comitê cross‑funcional (técnico, contabilidade, jurídico). Faça um inventário de usos de IA: automações internas, SaaS que usam GenAI e integrações de clientes que envolvem modelos.

Semanas 2–3 — Avaliação de risco e classificação
Classifique cada caso de uso por impacto (baixo, médio, alto) e por tipo de risco (privacidade, impacto fiscal, erro ou viés). Priorize controles para casos de alto impacto, como decisões que alteram lançamentos contábeis ou cálculo de tributos.

Semanas 4–5 — Projetar e implantar controles
Desenhe atividades de controle: checkpoints humanos, limites de confiança, scripts de verificação e DLP. Implemente logs estruturados (append‑only) para cada execução do modelo. Negocie com fornecedores cláusulas de auditoria e não‑treino quando necessário.

Semana 6 — Monitoramento e playbooks
Estabeleça painéis que mostrem volume de execuções por modelo, taxa de intervenção humana e incidentes. Crie playbooks para responder a falhas (rollback, correção e comunicação ao cliente e ao fisco).

O lado humano

IA reconfigura papéis, não os elimina. Contadores passam a ser curadores de evidência, validadores de exceções e gestores de risco. Treine equipes em exercícios práticos: “mostre o log”, “explique por que o modelo sugeriu X”, “como validamos o ajuste?”. Essas rotinas viram diferencial competitivo.

Riscos que merecem atenção imediata

• Automação sem documentação: gera vulnerabilidade em fiscalizações e auditorias.
• Dependência de fornecedor sem cláusula de auditoria: impede extração de provas e aumenta risco regulatório.
• Falsos positivos/negativos em modelos: podem induzir ajustes incorretos — imponha revisão humana em decisões de impacto.

Como transformar compliance em oferta de serviço

Escritórios que internalizarem o roteiro COSO podem criar pacotes: inventário de IA + mapa de riscos + implementação de controles + playbook de auditoria. Clientes que enfrentarem fiscalizações e exigências de evidência pagarão por essa capacidade — ou seja, compliance vira receita.

O que isso revela sobre o futuro

Organizações que integrarem políticas de controle interno sobre IA desde já ganharão velocidade e confiança. Reguladores e auditores globais (e locais) estão convergindo em expectativas — e o Brasil já tem sinais claros (políticas de IA de órgãos públicos e debates do CFC). Segurança, rastreabilidade e revisão humana serão pré‑requisitos para escalar automações contábeis.

Resumo prático

O COSO fornece a lente técnica que faltava para transformar experimentos com IA em processos auditáveis. Para escritórios contábeis: inventarie, classifique, controle e monitore — e documente tudo com logs exportáveis. Em seis semanas você reduz risco e cria uma oferta comercial de governança de IA.

Quer apoio para implantar esse roteiro no seu escritório? Converse com a Morph — ajudamos a traduzir o COSO para a prática contábil: inventário, controles, playbooks e contratos que equilibram automação e confiança.

Fontes

• COSO — Achieving Effective Internal Control Over Generative AI (fev 2026).
• Journal of Accountancy — COSO creates audit-ready guidance for governing generative AI (Feb 26, 2026).
• Deloitte DART — COSO Releases Publication on Generative AI (Mar 2, 2026).
• CFC — Painel destaca o contador do século XXI (Mar 2026).
• Receita Federal — Portaria RFB nº 647 / Política de IA (Feb 5, 2026).