IT General Controls (ITGC) são os controles que garantem que os sistemas financeiros processam dados com integridade. Um ITGC fraco invalida todos os controles de processo que dependem dele.
Por Anderson Chipak · ALC · Atualizado abr/2026
O controle de acesso verifica se apenas pessoas autorizadas têm acesso aos sistemas financeiros, com os privilégios mínimos necessários para suas funções. É o domínio com mais achados em auditoria.
Controles auditados — Acesso lógico
Revisão periódica de acessos
Gestor revisa e aprova os acessos dos subordinados ao menos semestralmente. Evidência: formulário assinado com data.
Desativação de usuários desligados
Processo de offboarding integrado com TI — acesso desativado no dia do desligamento. Evidência: log de desativação com data.
Segregação de funções (SoD)
Quem lança não aprova, quem aprova não paga. Matriz de conflitos documentada. Compensating controls quando SoD não é viável.
Controle de acesso privilegiado
Contas de admin são individuais (não genéricas), com MFA obrigatório. Revisão mensal de quem tem admin. Log de uso auditado.
Processo de provisioning/deprovisioning
Solicitação de acesso com aprovação do gestor, documentada. Trilha auditável de quem autorizou cada acesso.
Toda alteração em sistema que suporta processo financeiro deve ser aprovada, testada em ambiente separado e documentada antes de ir para produção. Sem evidência = achado de auditoria.
Controles auditados — Gestão de mudanças
CAB (Change Advisory Board)
Mudanças em sistemas financeiros aprovadas formalmente antes de implementação. Ata de reunião ou ticket aprovado como evidência.
Separação dev/homologação/produção
Ambientes segregados. Desenvolvedor não sobe direto para produção. Evidência: pipeline com aprovação ou processo manual documentado.
Teste antes de produção
Evidência de teste em homologação antes de deploy. Não precisa ser automatizado — precisa ser documentado.
Plano de rollback documentado
Mudanças críticas têm plano de retorno testado. Especialmente importante em fechamentos contábeis.
Controles operacionais garantem que jobs financeiros rodem corretamente, erros sejam detectados e resolvidos antes de impactar o relatório.
Controles auditados — Operações
Monitoramento de jobs críticos
Jobs financeiros (integrações, fechamentos, consolidações) monitorados com alertas de falha. Alguém é notificado quando falha — evidência de processo.
Gestão de incidentes com impacto financeiro
Incidentes em sistemas financeiros têm prioridade, escalada e resolução documentada. ITSM ou registro formal.
Audit logs dos sistemas financeiros
Log habilitado nos sistemas que suportam relatório financeiro. Retenção mínima de 5 anos (SOX). Log não pode ser alterado por usuários comuns.
O auditor não quer saber se você faz backup — quer saber se você já recuperou o backup com sucesso. Muitas empresas têm rotina de backup, mas nunca testaram a recuperação.
Controles auditados — Backup e recuperação
Backup regular com monitoramento
Backup dos sistemas financeiros com frequência documentada. Falhas de backup geram alerta e resolução registrada.
Teste de recuperação documentado
Recuperação testada ao menos anualmente, com evidência (data, sistema, responsável, resultado). Este é o controle mais frequentemente ausente.
RTO e RPO definidos e documentados
Recovery Time Objective e Recovery Point Objective formalizados para os sistemas que suportam fechamento contábil.
15 perguntas, resultado por domínio, PDF com gaps prioritários.
Fazer checklist ITGC →Atenção
Achados repetidos no mesmo controle em auditorias consecutivas são sinal vermelho para o auditor. Um achado de 2024 não resolvido é urgente para 2025.
Por Anderson Chipak — auditor de sistemas críticos · ALC
