DEV Community

ALC DEV
ALC DEV

Posted on • Originally published at auditoria-erp.com.br

Como preparar sua empresa para auditoria SOX em sistemas ERP

#sox #erp #compliance #auditoria

Se a sua empresa tem ações na bolsa ou é subsidiária de uma empresa americana, a Sarbanes-Oxley (SOX) provavelmente já chegou na sua porta — ou vai chegar. E quando o auditor externo pede evidências de controles ITGC no ERP, improviso não resolve.

O que o auditor SOX realmente quer ver

Auditores SOX focam em quatro domínios dentro do ERP:

1. Controle de Acesso

  • Quem tem acesso a quê — e por quê
  • Conflitos de Segregação de Funções (SoD): ninguém pode criar fornecedor E aprovar pagamento
  • Usuários genéricos, compartilhados ou inativos com acesso ativo
  • Revisão periódica de acessos privilegiados (SA38, SE38 no SAP; DBA_USERS no Oracle)

2. Gestão de Mudanças

  • Todo ajuste em produção precisa de ticket aprovado
  • Transporte de objetos documentado (SAP: SE01/SE09/SE10)
  • Ambiente de homologação separado de produção
  • Rollback documentado para cada mudança crítica

3. Operações de TI

  • Backup testado (não apenas executado — testado com restore real)
  • Monitoramento de jobs críticos com alertas
  • Gestão de incidentes com RCA documentado
  • Logs de sistema íntegros e imutáveis

4. Continuidade de Negócios

  • BCP/DRP documentado, testado e aprovado pelo board
  • RTO e RPO definidos para sistemas financeiros
  • Teste de contingência realizado ao menos anualmente

Os erros mais comuns que reprovam auditorias

Usuários fantasma. Em uma auditoria recente em uma empresa de mineração, encontramos 47 usuários ativos no Oracle ERP que eram de funcionários desligados. Alguns tinham acesso a módulos financeiros. A EY levantou como achado crítico.

SoD não resolvida. Conflito de "criar e aprovar" na folha de pagamento é o achado mais comum. O ERP permite — mas a política não pode permitir.

Mudanças em produção sem ticket. O DBA que "ajustou rapidinho" um parâmetro sem abrir chamado. Na hora da auditoria, não tem como explicar.

Backup sem evidência de restore. Backup que não foi testado não é backup — é esperança.

Como se preparar em 90 dias

Mês 1 — Diagnóstico:

  • Exportar todos os usuários ativos e cruzar com RH
  • Mapear conflitos SoD nos papéis mais críticos
  • Auditar log de mudanças dos últimos 6 meses

Mês 2 — Remediação:

  • Desativar usuários inativos e genéricos
  • Implementar processo formal de revisão de acesso (quarterly)
  • Documentar processo de change management

Mês 3 — Evidência:

  • Coletar screenshots e logs de cada controle
  • Preparar matriz de controles ITGC com evidências
  • Executar teste de restore de backup com documentação

Quando contratar auditoria externa antes da auditoria externa

Se você não tem certeza de que vai passar, vale contratar uma pré-auditoria. Custa menos que um achado crítico. A ALC faz diagnóstico de ITGC com modelo de success fee — saiba mais em auditoria-erp.com.br.

Anderson Chipak — Auditor de Sistemas Críticos | ALC Consultoria | alc.srv.br

Top comments (0)