CFO, Controller, Gerente de Compliance: este artigo e para voce. Seu auditor vai pedir evidencias de ITGC e voce precisa entender o suficiente para cobrar sua equipe de TI.
ITGC em uma frase
IT General Controls sao os controles que garantem que o ERP nao mente. Se os controles de TI falham, os relatorios financeiros podem estar errados sem que ninguem saiba.
Os quatro dominios que o auditor vai checar
1. Controle de Acesso
O auditor quer saber: alguem sem autorizacao pode criar nota fiscal, aprovar pagamento ou alterar cadastro de fornecedor?
O que ele vai pedir:
- Lista de usuarios do ERP com perfis de acesso
- Evidencia de que usuarios desligados foram bloqueados (dentro de 24h)
- Matriz de Segregacao de Funcoes (SoD)
Red flag: "o sistema nao deixa fazer isso" sem evidencia de que o controle existe mesmo.
2. Gestao de Mudancas
Qualquer mudanca no ERP precisa de processo documentado.
O que ele vai pedir:
- Tickets de change management para alteracoes em producao no periodo auditado
- Evidencia de teste e aprovacao antes de ir para producao
- Log de transportes (SAP: SE01/SE10; Oracle: historico de patches)
3. Operacoes de TI
O que ele vai pedir:
- Log de backups + evidencia de pelo menos um restore bem-sucedido
- Relatorio de jobs criticos com alertas documentados
- Chamados de incidentes com RCA para os 3 maiores do ano
Red flag: "nosso backup funciona" sem nunca ter testado o restore.
4. Continuidade de Negocios
O que ele vai pedir:
- Documento de BCP/DRP com RTO e RPO definidos para sistemas financeiros
- Ata da ultima aprovacao pelo board
- Relatorio do ultimo teste de contingencia
O que fazer se nao tiver nada disso
Faca um diagnostico antes da auditoria, identifique as lacunas e apresente plano de remediacao. Auditores aceitam plano com cronograma - o que nao aceitam e ausencia total de controles sem plano.
Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br
Top comments (0)