edicao-009

Sua empresa fala de IA em quatro documentos públicos. Quantos você consegue defender se a CVM perguntar amanhã?

Alexandre Scotti

Alexandre Scotti

9 min de leitura
Compartilhar
Sua empresa fala de IA em quatro documentos públicos. Quantos você consegue defender se a CVM perguntar amanhã?

/update

Esta segunda-feira teve um fato que praticamente nenhum veículo brasileiro cobriu. Vai importar para o CFO de empresa listada.

Fato 1. Melbourne, 04/05. Lucinda McCann, Chief Compliance Officer da ASX (Australian Securities Exchange), declarou em conferência da Australian Shareholders' Association que a bolsa monitora ativamente o que ela chamou de "AI ramping" — empresas exagerando claims de exposição a IA para puxar preço de ação. Citação direta: empresas podem "make claims about their exposure to the upside from AI that actually aren't based in fact, in the hope of ramping up the price of their securities". A ASX ainda não autuou ninguém. Mas se posicionou publicamente, em conferência de investidores, como vigia.

Fato 2. Morningstar, 22/04. Disclosure de "AI risks" entre empresas do S&P 500 saltou de 12% para 83% em três anos. O que era exceção em 2023 virou linguagem padrão em 2026. As 17% que ainda não fazem disclosure estão na mira.

Fato 3. Brasília, fevereiro. PL 762/2026 cria framework regulatório para IA de alto impacto e exige Avaliação de Impacto de IA (AIA) em sistemas críticos. PL 704/2026 estabelece princípios estruturantes. SEC já tem casos de enforcement por AI-washing (Presto Automation 2025, Nate Inc. 2025) e elegeu IA como top focus area no exame de FY2026. CVM, historicamente, segue SEC com 12 a 24 meses de latência. A regulação BR não é "se" — é "quando".

Os três fatos parecem dispersos. Apontam para o mesmo lugar.

• • •

/nofilter

A audiência desta newsletter sabe ler precedente regulatório. Vou ser direto.

Quando a SEC, ASX, FCA ou outra bolsa relevante se posiciona publicamente sobre um tema de disclosure, a CVM segue. Sempre seguiu. A latência típica é 12 a 24 meses, e o padrão é estável o suficiente para ser tratado como variável de planejamento.

Três precedentes recentes:

ESG. PRI publicou framework consolidado em 2018-2019. SEC propôs regra de climate-related disclosure em março 2022. CVM publicou Resolução CVM 59 em dezembro 2021, modernizando o Formulário de Referência com seção de fatores ESG materiais. Latência: 12-18 meses.

Climate. ISSB publicou IFRS S1/S2 em junho 2023. CVM emitiu Resolução CVM 193 em outubro 2024, exigindo disclosure climático alinhado a IFRS S2 para companhias abertas. Latência: 16 meses.

Cyber. SEC adotou regra de cyber incident disclosure em julho 2023. CVM emitiu orientações ao longo de 2024-2025. Latência: 12-24 meses.

O padrão é claro. Quando a CVM segue, segue rápido o suficiente para que empresas não preparadas tenham que correr.

Por que IA é especialmente arriscado.

Os três temas anteriores tinham frameworks técnicos consolidados antes da regulação chegar (PRI, ISSB, NIST CSF). IA não tem. Disclosure de IA hoje é narrativa subjetiva — "investindo em IA generativa", "explorando casos de uso de machine learning", "implementando agentes em operações". Sem framework de mensuração, narrativa vira marketing. Marketing em informação periódica vira material misleading. Material misleading vira passivo regulatório.

A ASX nomeou exatamente isso: "ramping" — usar narrativa de IA para mover preço de ação. Não é hipótese. É observação de mercado.

O que está em jogo, concretamente.

Sua empresa, se listada, fala de IA em pelo menos quatro documentos públicos com peso regulatório:

  1. Formulário de Referência (FRE) — seções 4 (fatores de risco), 7 (atividades) e 10 (estratégia)
  2. Relatório da Administração — narrativa anual da gestão
  3. ITR — Informações Trimestrais — comentário da administração
  4. Fatos relevantes e comunicados ao mercado — eventuais

Some a isso outras quatro superfícies que não são informação periódica formal mas circulam ao mercado:

  • Site institucional / página de RI
  • Releases e comunicados de imprensa
  • Apresentações em earnings call
  • LinkedIn do CEO, CFO ou CIO citando IA

Cada uma dessas oito superfícies pode conter uma linha sobre IA. Cada linha tem três status possíveis quando questionada:

  • Defensável — há documento interno, KPI, plano formal ou contrato que sustenta
  • Aspiracional — é estratégia/intenção, não realização
  • Vazia — copiou do mercado sem suporte interno real

O risco não está em ter linhas aspiracionais. Está em ter aspiracional descrita como realização sem qualificação. E em ter vazia em qualquer lugar.

A pior linha do seu Formulário de Referência não é a errada. É a que você não consegue defender.

O que muda agora.

A janela está aberta. ASX se posicionou esta semana mas ainda não autuou. CVM ainda não emitiu ato específico sobre disclosure de IA. PL 762 cria moldura legal mas não está em vigor. SEC já está atuando há 18 meses.

O CFO que termina maio com inventário pronto, classificação feita, e linhas marcadas como "vazia" reescritas — entra em junho com tranquilidade. O CFO que espera o primeiro ofício chegar entra no Q3 explicando para o board por que três linhas do FRE estão sob revisão.

A diferença entre os dois é uma semana de trabalho, no momento certo. Esta semana.

A próxima seção é o instrumento prático.

• • •

/howto — Auditoria de disclosure de IA em 5 movimentos

Cinco movimentos. Cada um com tarefa, prompt para Claude/Copilot/Gemini, entregável e checks de validação. Total: 6-10 horas distribuídas em uma semana, executável por CFO + RI + jurídico em coordenação.

A regra das três categorias usada — defensável, aspiracional, vazia — é o filtro que separa risco aceitável de passivo regulatório.

Movimento 1 — Inventário das oito superfícies

Tarefa. Listar todas as menções a IA, machine learning, automação inteligente, agentes, LLM, generativa, ou termos correlatos nas oito superfícies onde sua empresa se manifesta publicamente.

Prompt:

Atue como analista de disclosure regulatorio. Vou colar abaixo o conteudo extraido de [documento — Formulario de Referencia secao 4 / Relatorio da Administracao 2025 / ITR Q1 2026 / etc.]. Sua tarefa: 1. Extraia TODA mencao a IA, inteligencia artificial, machine learning, GenAI, IA generativa, automacao inteligente, agentes IA, LLM, ou termo correlato. 2. Para cada mencao, devolva: - Citacao textual (entre aspas) - Localizacao (secao, paragrafo, pagina se aplicavel) - Tipo de claim: estrategia / risco / capacidade existente / investimento / outro 3. Sinalize claims onde ha numero, prazo ou fato concreto vs claims apenas qualitativos. Saida em tabela markdown. Documento: [colar aqui]

Repita para cada um dos 8 documentos/superfícies.

Validação:

  1. Listou pelo menos as 4 superfícies regulatórias (FRE, RA, ITR, fatos relevantes)?
  2. Inclui menções no LinkedIn do CEO/CFO/CIO no último ano?
  3. Planilha tem entre 8 e 30 menções? Menos de 8: faltou superfície. Mais de 30: alto exposure narrativo.

Tempo estimado. 4 a 6 horas.

Movimento 2 — Classificação em três categorias

Tarefa. Para cada menção do Movimento 1, classificar como defensável, aspiracional ou vazia com base em evidência documental interna.

Prompt:

Atue como auditor interno revisando consistencia entre comunicacao externa e evidencia operacional. Vou colar a planilha de mencoes a IA do nosso Inventario e, para cada mencao, descricao da evidencia interna que sustenta o claim. Sua tarefa: 1. Para cada mencao, classifique em uma das tres categorias: - DEFENSAVEL: ha documento, KPI, contrato, sistema em producao ou plano formal aprovado que sustenta a afirmacao - ASPIRACIONAL: e intencao declarada, plano em estagio inicial, ou ambicao sem realizacao concreta - VAZIA: copia de linguagem de mercado sem suporte interno real 2. Para DEFENSAVEL, exija evidencia documental especifica (nome do doc, autor, data). Se eu nao conseguir nomear, reclassifique para ASPIRACIONAL. 3. Para ASPIRACIONAL, sugira como reescrever a citacao para tornar o carater aspiracional explicito ("planeja", "avalia", "estuda" no lugar de "implementa", "utiliza", "opera"). 4. Para VAZIA, sugira: remover OU substituir por declaracao defensavel adjacente. Tom: cetico, direto. Nao me poupe se eu estiver classificando como defensavel algo sem suporte real. Planilha + evidencias: [colar aqui]

Validação:

  1. As menções classificadas como "defensável" têm DOCUMENTO específico citado?
  2. A proporção de "vazia" não excede 10% do total?
  3. As sugestões de reescrita estão respeitando o que a empresa REALMENTE faz?

Tempo estimado. 3 a 5 horas.

Movimento 3 — Matriz de risco regulatório

Tarefa. Para cada linha "aspiracional" mal-qualificada e cada linha "vazia", calcular probabilidade × impacto regulatório.

Prompt:

Atue como diretor juridico avaliando exposicao regulatoria de disclosure. Para cada item da planilha abaixo, calcule: 1. PROBABILIDADE de questionamento (Alta / Media / Baixa) com base em visibilidade do canal, volume de mencoes a IA na empresa, atualidade do tema na agenda da CVM/ANPD/BACEN. 2. IMPACTO se houver questionamento (Alto / Medio / Baixo) com base em possivel enquadramento como informacao misleading (Lei 6.385 art. 4 e art. 9, Resolucao CVM 44 sobre informacoes periodicas), reputacao no mercado, risco de acao privada. 3. ACAO recomendada (Reescrever / Remover / Manter com qualificacao / Manter): - Reescrever: aspiracionais sem qualificacao adequada - Remover: vazias sem alternativa defensavel - Manter com qualificacao: aspiracional bem qualificada - Manter: defensavel com evidencia documentada Saida em tabela com prioridade de acao (1, 2, 3). Nao invente regulacao — use apenas Lei 6.385, Resolucao CVM 44, Resolucao CVM 59 e instrumentos efetivamente em vigor. Planilha: [colar aqui]

Validação:

  1. Os enquadramentos legais citados são reais?
  2. Toda linha "vazia" está marcada para Remover?
  3. Os itens prioridade 1 cabem em uma semana de trabalho?

Tempo estimado. 2 a 3 horas.

Movimento 4 — Response template para questionamento CVM

Tarefa. Preparar template de resposta para o cenário onde a CVM, auditor independente, ou investidor institucional via ofício questionar uma menção específica de IA na sua comunicação.

Prompt:

Atue como diretor de relacoes com investidores experiente respondendo a oficio hipotetico da CVM sobre mencao de IA em FRE. Cenario hipotetico: a CVM, em oficio circular SEP, solicita esclarecimentos sobre afirmacao na secao 7 do FRE 2025: "[trecho]". Construa response template em estrutura formal, com: 1. Citacao do trecho questionado 2. Esclarecimento factual: o que a empresa realmente faz (sem inflar) 3. Evidencia documental disponivel: lista de documentos internos 4. Caso a evidencia nao suporte plenamente o trecho original: reconhecimento + proposta de retificacao no proximo FRE/ITR 5. Anexo de evidencias (lista padrao) Tom: formal CVM, direto, sem floreio. Nao admite culpa quando a defesa cabe; mas nao tenta defender o indefensavel. Trecho a defender: [colar trecho especifico] Evidencias internas disponiveis: [colar lista]

Validação:

  1. O template usa enquadramento legal apropriado?
  2. Quando a evidência não suporta o trecho, o template reconhece honestamente OU está tentando defender o indefensável?
  3. O template está em formato CVM (referência ao ofício, número de protocolo placeholder, data, assinatura padrão)?

Tempo estimado. 2 a 4 horas. Validação obrigatória pelo jurídico antes de arquivar.

Movimento 5 — Memo para o audit committee

Tarefa. Consolidar Movimentos 1 a 4 em memorando de uma página para apresentação no próximo audit committee.

Prompt:

Atue como CFO escrevendo memorando para audit committee sobre auditoria interna de disclosure de IA. Construa memo de UMA pagina A4 (fonte 11, ~400 palavras). Estrutura obrigatoria: 1. PARAGRAFO UNICO de diagnostico — comecar com NUMERO. Ex: "Auditoria interna identificou 17 mencoes a IA em 8 superficies. 11 sao defensaveis, 5 aspiracionais com qualificacao adequada e 1 foi classificada como vazia, sem suporte documental." 2. CONTEXTO REGULATORIO E DE AUDITORIA EXTERNA (3 bullets): - ASX warning de 04/05/2026 - Morningstar S&P 500: 12% para 83% disclosure de AI risks em 3 anos - Big4 (KPMG/EY) embedding agentic AI em audit a partir de verao 2026 — auditor externo vai cruzar claims contra evidencia 3. ACOES PROPOSTAS (3 bullets) — reescrita das X linhas aspiracionais sem qualificacao ate [data]; remocao da Y linha vazia ate [data]; ativacao de processo recorrente de revisao pre-publicacao para FRE/ITR/comunicados. 4. RECURSOS NECESSARIOS (1 frase) — homem-hora estimada, coordenacao com juridico/RI/TI. 5. PEDIDO EXPLICITO em paragrafo separado — endorsement do audit committee + agendamento de revisao trimestral. Tom: voz de CFO falando para audit committee. Sem floreio. Dados de input: [colar resumo Movimentos 1-4]

Validação:

  1. O memo cabe em uma página A4 com fonte 11?
  2. O parágrafo de diagnóstico tem número?
  3. O pedido explícito está em parágrafo separado?

Tempo estimado. 2 horas.

A armadilha comum

Os Movimentos 1 a 5 cabem em uma semana de trabalho coordenado. Mas há uma armadilha previsível: a pessoa que faz o inventário é a mesma que escreveu as menções originais. Conflito de interesse latente.

Se possível, faça o Movimento 1 (inventário) com pessoa que NÃO escreveu o material original — alguém da auditoria interna, do jurídico, ou consultoria externa. Custa mais. Encontra mais.

A regra dos 5% que cobrimos na #007 vale aqui também: input governado, KPI claro (categorias 3), validação humana sistemática (cruzamento contra evidência operacional, não contra elegância). Sem isso, a auditoria vira teatro elegante.

• • •

/briefing

Path to the Boardroom for Technology Executives (Harvard Corp Gov, 03/05). Análise indica que tecnologia deixou de ser tema de especialistas e virou estruturante de estratégia, risco, alocação de capital e competitividade. Boards exigem mais diretores com background em tech para governar adoção de IA, ciber-resiliência e modelos digitais.

Por que isso importa: o conselho brasileiro está atrasado nessa curva. IBGC ainda não tem framework formal de AI literacy para conselheiros. Recomendações ISS Brasil 2026 não mencionam expertise em IA como critério de votação. Para o conselheiro, gap de competência em IA virou risco fiduciário direto. Para o CFO, é input para conversa de board renewal na próxima assembleia.

Big Four embedding agentic AI nos próprios processos de auditoria começou em abril (WSJ + Accounting Today). O Wall Street Journal reportou em 10/04 que KPMG planeja remover envolvimento humano de partes inteiras do processo de auditoria a partir do verão de 2026, depois de cortar 10% dos audit partners US (cobrimos na #007). EY anunciou em 08/04 que agentic AI está embedded em todos os engagements de assurance globalmente — incluindo afiliadas BR. Deloitte e PwC seguem o mesmo movimento, com cortes de benefícios financiados pela economia de IA na assurance.

Por que isso importa: o argumento da edição ganha um vetor adicional. AI-washing não é apenas risco regulatório (ASX, SEC, eventualmente CVM). É risco de auditoria externa vindo dentro do mesmo ciclo. O auditor que sua empresa contrata em 2026 vai usar IA para cruzar disclosure de IA contra evidência operacional — em escala, automaticamente, antes do audit committee ler. Inconsistência entre o que está no FRE e o que está no contrato, sistema ou release interno deixa de ser invisível. O CFO que entrega 2026 sem auditoria interna de claims de IA vai descobrir o gap pelo auditor externo, não pela revisão própria. A ordem importa.

• • •

/thinkdeeper

A ASX falou esta semana. A CVM vai falar nos próximos 12 a 24 meses. A pergunta honesta não é se sua empresa vai precisar revisitar o disclosure de IA. É quando.

E quando é uma escolha. CFOs que esperam o primeiro ofício chegar têm seis semanas de trabalho refeito sob pressão. CFOs que abrem maio com inventário, classificação e matriz de risco entram em junho com posição defensável e sabem o que estão arriscando em cada linha que mantiveram.

A diferença é a mesma que cobrimos nas #006, #007 e #008. Não é tecnologia. É comportamento. É a empresa estar disposta a documentar o que diz antes que alguém peça documentação. É o CFO estar disposto a ler o próprio FRE com olho de auditor, não com olho de autor.

Quem documentou o que disse e tem linha defensável é dos 5%. Quem disse e reza é o resto.

A pior linha do seu Formulário de Referência não é a errada. É a que você não consegue defender.

A janela aberta esta semana fecha. A pergunta é quanto da janela você usa.

Veja mais