Checklist ITGC SOX — 15 Controles de TI para Financeiro

Avalie os 4 domínios ITGC que a Big Four verifica em auditorias SOX. Escala 0–3 por questão.

sox-ti.com.br/checklist/ — versão interativa com score automático

15 questões 4 domínios ITGC Pontuação 0–45

Empresa

Responsável

Data

Domínio 1 — Acesso Lógico · 5 questões · máx 15 pts

1.Como é feita a revisão periódica dos usuários com acesso aos sistemas financeiros?

Não fazemos revisão periódica (0) Revisamos informalmente quando lembramos (1) Revisamos anualmente com aprovação do gestor (2) Revisamos semestralmente com evidência documentada (3)

2.Quando um funcionário é desligado, o acesso aos sistemas financeiros é revogado:

Não há processo — pode demorar dias ou semanas (0) Fazemos quando lembramos ou o RH avisa (1) Temos processo, mas sem garantia de prazo (2) Processo documentado, executado no mesmo dia (3)

3.Segregação de funções (quem lança não aprova, quem aprova não paga): como está implementada?

Não há segregação — uma pessoa faz tudo (0) Segregamos por costume mas não documentamos (1) Temos matriz de SoD mas sem revisão (2) Matriz SoD documentada, revisada anualmente, com compensating controls (3)

4.Acesso administrativo (root, DBA, admin ERP) nos sistemas financeiros:

Conta genérica compartilhada por vários membros (0) Individual, mas sem revisão de quem tem acesso (1) Individual com MFA, revisado quando muda equipe (2) Individual com MFA, revisado mensalmente, log de uso monitorado (3)

5.Solicitação de acesso a novos usuários nos sistemas financeiros:

Sem processo formal — TI cria quando alguém pede (0) Precisa de aprovação verbal do gestor (1) Solicitação por email com aprovação do gestor (2) Processo formal (ITSM/formulário), aprovação documentada e trilha auditável (3)

Domínio 2 — Gestão de Mudanças · 4 questões · máx 12 pts

6.Mudanças em sistemas financeiros (ERP, integrações, scripts) vão para produção:

Direto para produção, sem aprovação prévia (0) Com aprovação informal do gestor de TI (1) Testadas em homologação, aprovadas no CAB (2) Testadas em homologação, aprovadas formalmente com evidência documentada (3)

7.Ambientes de desenvolvimento, homologação e produção:

Um único ambiente — desenvolvemos direto em produção (0) Temos separação, mas dev pode acessar produção (1) Ambientes separados com acesso controlado (2) Separação técnica enforced — dev sem acesso de deploy em produção (3)

8.Mudanças emergenciais (hotfix urgente) em sistemas financeiros são:

Feitas sem processo — urgência justifica qualquer coisa (0) Feitas com autorização verbal pós-fato (1) Documentadas depois da implementação (2) Processo específico: aprovação de emergência, revisão pós-implementação documentada (3)

9.Mudanças em configurações financeiras (plano de contas, regras de lançamento, perfis ERP):

Feitas a qualquer momento por quem tem acesso admin (0) Feitas com aviso ao gestor financeiro (1) Sujeitas ao mesmo processo de mudança do IT (2) Processo específico com aprovação do Controller/CFO + log de alteração (3)

Domínio 3 — Operações de TI · 3 questões · máx 9 pts

10.Jobs financeiros (integrações, fechamentos, consolidações automáticas) são monitorados:

Não monitoramos — descobrimos quando Finance reclama (0) Verificamos manualmente de vez em quando (1) Temos alertas de falha, mas sem processo documentado (2) Alertas automáticos, responsável definido para cada job, resolução documentada (3)

11.Logs dos sistemas financeiros (acesso, transações, alterações de dados):

Logs desabilitados ou não configurados (0) Logs habilitados mas sem retenção definida ou revisão (1) Logs habilitados com retenção de 1–2 anos (2) Logs habilitados, retenção mínima 5 anos, imutáveis (3)

12.Incidentes com impacto nos sistemas financeiros são tratados:

Sem processo formal — cada um resolve como pode (0) Via WhatsApp/email, sem registro (1) Registrados em ITSM, mas sem SLA específico para financeiro (2) ITSM com prioridade e SLA definidos para sistemas financeiros, escalada documentada (3)

Domínio 4 — Backup e Recuperação · 3 questões · máx 9 pts

13.Backup dos sistemas e dados financeiros:

Não temos rotina de backup estruturada (0) Fazemos backup, mas não monitoramos se completou (1) Backup monitorado, com alertas de falha (2) Backup monitorado, falhas geram alerta e resolução registrada, conforme RPO definido (3)

14.Teste de recuperação do backup dos sistemas financeiros:

Nunca testamos a recuperação (0) Testamos raramente, sem documentação (1) Testamos anualmente, sem evidência formal (2) Testamos anualmente com evidência documentada (data, sistema, responsável, resultado) (3)

15.RTO e RPO para sistemas financeiros:

Não sabemos o que é RTO/RPO aplicado ao nosso ambiente (0) Sabemos informalmente mas nunca documentamos (1) Definidos para os principais sistemas (2) Definidos, documentados e validados com Finance — plano aprovado pela Diretoria (3)

Apuração de score

Domínio	Questões	Máx	Pontos obtidos	%
Acesso Lógico	1–5	15	_____	_____
Gestão de Mudanças	6–9	12	_____	_____
Operações de TI	10–12	9	_____	_____
Backup e Recuperação	13–15	9	_____	_____
TOTAL	1–15	45	_____	_____

Interpretação: <50% = Gaps críticos (risco alto em auditoria Big Four) · 50–74% = Parcialmente adequado · ≥75% = SOX-ready