ALC | SOX em TI
Checklist ITGC →
Preparação

Como preparar TI para auditoria SOX Big Four

E&Y, Deloitte, KPMG e PwC seguem metodologias parecidas para auditoria de ITGC. Saber como eles trabalham permite preparar as evidências certas antes de chegarem.

Por Anderson Chipak · ALC · Atualizado abr/2026

Como o auditor Big Four aborda TI

O auditor de TI (geralmente um especialista separado do auditor de finance) faz o seguinte:

  1. 1. Scoping: Identifica quais sistemas estão no escopo SOX (aqueles que alimentam o relatório financeiro). Pede um inventário dos sistemas financeiros.
  2. 2. Risk assessment: Avalia quais controles ITGC são mais críticos com base nos sistemas identificados.
  3. 3. Walkthrough: Entende como cada controle funciona na prática — não o que está no documento, mas o que realmente acontece.
  4. 4. Testing: Pede evidências de que o controle foi executado durante o período auditado. Amostragem: 25 amostras para controles mensais, 10 para trimestrais.
  5. 5. Findings: Documenta deficiências — classificadas por severidade (deficiência de controle, deficiência significativa, fraqueza material).

Cronograma de preparação — 90 dias antes

90

D-90: Levantamento de escopo

  • → Inventário de sistemas que alimentam o relatório financeiro
  • → Revisão dos controles documentados no ciclo anterior
  • → Identificação de mudanças no ano (novos sistemas, migrações)
60

D-60: Coleta de evidências

  • → Revisão de acessos: gerar relatório, gestor aprovar, guardar
  • → Testar backup: executar recuperação, documentar resultado
  • → Exportar log das mudanças do período
  • → Verificar usuários inativos/desligados ainda com acesso
30

D-30: Remediação de gaps

  • → Fechar acessos excessivos identificados
  • → Documentar controles compensatórios onde SoD não é viável
  • → Organizar pasta de evidências por domínio de controle
  • → Briefing da equipe: o que o auditor vai perguntar
0

Auditoria

  • → Responder PBC (Prepared by Client) list dentro do prazo
  • → Walkthrough: explicar os controles com confiança
  • → Fornecer amostras adicionais se solicitado

O que a E&Y mais pede em TI (PBC list típica)

Item solicitado Domínio
Relatório de usuários ativos nos sistemas financeiros Acesso lógico
Evidência de revisão de acesso (aprovação do gestor) Acesso lógico
Matriz de SoD e lista de exceções com compensação Acesso lógico
Log de mudanças no período (ticket + aprovação + teste) Mudanças
Evidência de teste de recuperação de backup Backup
Log de jobs financeiros com falhas e resoluções Operações
Política de TI aprovada pela Diretoria Governança
SOC 1 do fornecedor SaaS (se aplicável) Fornecedor

O que nunca dizer para um auditor Big Four

×

"A gente faz isso mas não documenta"

Controle sem evidência = controle inexistente para o auditor. Documentação não é burocracia — é a prova do controle.

×

"Esse sistema está fora do escopo"

O auditor define o escopo, não a empresa. Tentar excluir um sistema cria suspeita. O correto é apresentar os controles do sistema.

×

"Só o admin usa com essa conta"

Conta genérica compartilhada é achado imediato. Sem rastreabilidade individual, o controle está comprometido.

Auditoria chegando? Faça o diagnóstico agora.

Checklist ITGC gratuito — 15 controles SOX, score por domínio, PDF com gaps. Ou agende 60 min com Anderson Chipak para diagnóstico completo.

Checklist gratuito → Diagnóstico com especialista →

Neste guia

O que é SOX Controles ITGC SOX por sistema → Preparar auditoria

Ferramenta gratuita

Checklist ITGC — 15 controles SOX

Fazer agora →

Case ALC

Mineração — Aprovado E&Y

Zero achados de TI. -90% troubleshooting. 100% rastreabilidade. Diagnóstico gratuito disponível.

→ Agendar diagnóstico

Por Anderson Chipak — auditor de sistemas críticos · ALC