Já passei por auditorias da Ernst & Young, KPMG, PwC e Deloitte em clientes — algumas como auditor interno preparando o terreno, outras como consultor independente revisando o trabalho. Apesar das diferenças de estilo entre firmas, o roteiro é praticamente o mesmo.
Eles não inventam perguntas. Não improvisam. Seguem um conjunto bem definido de procedimentos de auditoria que cobre os mesmos pontos críticos, independente do ERP — Oracle EBS, SAP, Totvs Protheus, Senior, ou qualquer outro.
Vou te contar o que eles vão procurar. E como você se prepara antes.
O roteiro da auditoria de ERP: o que o auditor faz no primeiro dia
No primeiro dia da auditoria de ERP, o auditor sênior chega com um pacote padrão de solicitações. Não é negociável. Não é personalizado. É o procedimento da firma.
Lista de documentos que ele vai pedir nas primeiras 4 horas:
- Lista completa de usuários ativos no ERP, com perfis e datas de criação
- Lista de usuários com acesso privilegiado (administrador, configurador, DBA)
- Política de segurança lógica do ERP
- Procedimento de gestão de mudanças
- Relação de mudanças em produção nos últimos 12 meses
- Política e matriz de segregação de funções
- Inventário de jobs batch e seus responsáveis
- Política e procedimento de backup
- Última evidência de teste de restore
Empresa que recebe essa lista e tem todos os documentos prontos em 24h passa o resto da auditoria tranquila. Empresa que demora 5 dias pra reunir esses documentos já entra mal.
O auditor anota o tempo de resposta. Tempo de resposta lento sinaliza maturidade baixa de controle interno. E isso pesa nas conclusões dele.
O que o auditor observa fora das documentacoes
Alem dos documentos, o auditor observa o comportamento das pessoas. E forma julgamento a partir disso.
Sinais positivos que ele capta: respostas diretas dos gestores, conhecimento das proprias politicas, capacidade de mostrar evidencia sem demora, atitude colaborativa, ausencia de defensividade.
Sinais negativos: hesitacao em responder, gestor que precisa "perguntar pra outra pessoa" pra explicar processo proprio, evidencia que precisa ser "procurada" por horas, defensividade exagerada, tentativa de desviar a conversa.
Esses sinais nao entram literalmente no relatorio, mas afetam o tom geral. E o tom geral, em SOX e auditoria de ERP, define muito.
Acesso privilegiado: o ponto de partida de qualquer auditoria
Por que eles começam por acesso privilegiado? Porque é o controle que mais frequentemente revela falhas materiais.
O auditor vai pegar a lista de usuários com perfil de superusuário no ERP — em SAP, isso é o famoso SAP_ALL ou SAP_NEW; em Oracle EBS, perfis com acesso ao módulo de System Administrator; em Totvs, o usuário 'mestre' ou perfis com acesso ao Configurador.
Pra cada um desses usuários, ele vai perguntar:
- Há quanto tempo esse usuário tem esse perfil?
- Quem aprovou a concessão original?
- Houve revisão periódica?
- O usuário ainda precisa do perfil?
- O usuário tem MFA habilitado?
- Como esse perfil é monitorado?
Quantos clientes meus tinham resposta firme pra cada uma dessas perguntas antes de eu chegar? Quase nenhum.
A média do que eu encontro: 40-60% dos usuários com perfil privilegiado têm o acesso por mais de 2 anos, sem nenhuma revisão formal. 20-30% deles mudaram de função na empresa e o acesso nunca foi revogado. Em casos extremos (já vi mais de uma vez), 10-15% são ex-funcionários ativos no sistema.
Ressalva certa.
O processo de offboarding que evita o problema na origem
Quase todo problema de acesso privilegiado tem origem em offboarding mal feito. Funcionario sai, TI nao revoga, acesso continua ativo.
Offboarding bem feito tem:
- Notificacao do RH a TI no momento da decisao (nao no ultimo dia)
- Checklist de revogacao em todos os sistemas (ERP, AD, SaaS, VPN, MFA)
- Revogacao automatica quando possivel
- Confirmacao formal de que todos os acessos foram removidos
- Arquivamento de evidencia da revogacao
- Auditoria mensal cruzando saidas de RH com acessos ativos
Empresa com offboarding bem feito praticamente elimina o problema de ex-funcionario ativo. Empresa sem, repete o ciclo todo ano.
Gestão de mudanças: a trilha que o auditor vai seguir
Depois de acessos, o foco vira gestão de mudanças. O auditor vai pedir a lista de todas as mudanças em produção nos últimos 12 meses. Vai sortear uma amostra (geralmente 25 a 40 mudanças, dependendo do volume) e investigar cada uma.
O que ele vai querer ver pra cada mudança:
- Ticket ou registro formal da mudança
- Descrição clara do que foi mudado e por quê
- Aprovação prévia por gestor responsável
- Evidência de teste em ambiente separado de produção
- Aprovação da subida pra produção (CAB ou equivalente)
- Registro da execução: quem fez, quando, resultado
- Validação pós-implementação
Em qualquer mudança da amostra, se faltar um desses elementos, é apontamento. Se o padrão se repete, vira ressalva.
Mudança feita em produção sem registro formal é como dirigir sem documento: você pode passar despercebido a maior parte do tempo, mas quando a polícia para, paga caro.
O erro mais comum: mudanças emergenciais sem documentação posterior. "Foi 2 da manhã, sistema parado, eu só fiz e segui." O auditor entende a urgência. Mas exige que a documentação venha em até 24-48h depois. Sem isso, vira ressalva.
O conceito de mudanca emergencial bem documentada
Mudanca emergencial e legitima. Sistema critico parou, cliente reclamando, faturamento travado — fazer mudanca direta em producao as 2 da manha pode ser a unica opcao. Auditor entende.
O que ele exige e documentacao posterior completa, em ate 24-48h:
- Ticket retroativo aberto com toda a descricao
- Aprovador formal identificado (mesmo que aprovacao tenha sido por telefone)
- Descricao do problema, da solucao aplicada, do resultado
- Validacao pos-implementacao registrada
- Revisao no proximo CAB regular
Empresa que tem esse fluxo formal pra emergencia nao sofre ressalva. Empresa que improvisa, sim.
Prepare sua empresa antes da auditoria com o checklist ERP gratuito.
Fazer o Checklist de Auditoria ERP →Segregação de funções: por que o ERP aprovado ontem pode falhar amanhã
SoD em ERP é tópico denso. Vou simplificar.
A regra essencial: a mesma pessoa não pode executar atividades incompatíveis dentro de um mesmo processo crítico. Quem cria fornecedor não pode aprovar pagamento. Quem lança nota fiscal não pode aprovar baixa. Quem cadastra produto não pode definir preço de venda. Quem dá baixa de estoque não pode fazer ajuste contábil.
Os ERPs modernos têm matrizes pré-configuradas de SoD. Mas o problema é que, ao longo dos anos, perfis vão sendo criados, ampliados, customizados. Em algum momento, perfis incompatíveis aparecem juntos no mesmo usuário e ninguém percebe.
O auditor vai pegar a matriz de SoD da sua empresa (se houver) e rodar contra a base de usuários reais. Vai listar todas as violações. Não-conformidade.
Empresas que não têm matriz de SoD documentada são, automaticamente, ressalva — porque o controle nem existe formalmente.
Como evitar:
1. Documentar matriz de SoD aprovada pela diretoria (que combinações de perfil são proibidas).
2. Implementar verificação automática no ERP — ou, se não houver suporte nativo, ferramenta de GRC (SAP GRC, Oracle GRC, IBM OpenPages, e outras).
3. Tratar todas as exceções com controle compensatório formal — alguém revisa as transações daquela combinação proibida com periodicidade definida.
4. Auditoria interna trimestral pra confirmar que não há violações novas.
A matriz de SoD: o que ela precisa cobrir minimamente
Matriz mínima de SoD pra empresa de médio porte tipicamente cobre 25-40 conflitos. Os mais clássicos:
- Cadastro de fornecedor x aprovação de pagamento
- Cadastro de cliente x liberação de crédito
- Lançamento contábil x aprovação de fechamento
- Solicitação de compra x aprovação de compra
- Cadastro de produto x definição de preço de venda
- Folha de pagamento x liberação bancária
- Configuração de sistema x execução de transação no sistema configurado
Empresa de grande porte ou com mais complexidade processa entre 50 e 100 conflitos. Mais que isso costuma virar burocracia inviável.
Os 30 dias de preparação que fazem a diferença
Quando um cliente me liga porque a Big Four chega em 60 dias, eu sei que dá pra preparar a maior parte das coisas. Quando me liga com 30 dias de antecedência, dá pra preparar o essencial. Quando liga com 15 dias, vou tentar evitar o pior, mas ressalvas vão aparecer.
O roteiro que eu uso pra 30 dias de preparação:
Semana 1: Limpeza de usuários. Cross-check entre RH e sistemas. Remoção de ex-funcionários. Revisão de perfis privilegiados. Documentação formal das aprovações.
Semana 2: Reconstituição da trilha de mudanças. Sortear 30 mudanças do ano. Verificar a documentação. Onde estiver falha, reconstituir com aprovações posteriores formais (com data correta da retroconstituição).
Semana 3: SoD e controles compensatórios. Rodar análise. Identificar violações. Aplicar controle compensatório com evidência das últimas 90 dias.
Semana 4: Simulação de auditoria. Eu (ou o auditor interno) atua como Big Four. Pede documentos. Mede tempo de resposta. Refina o que travar.
Esse trabalho de 30 dias custa entre R$ 20 mil e R$ 60 mil dependendo da complexidade do ERP. Em troca, reduz drasticamente o número de ressalvas — eu já vi casos passarem de 14 apontamentos prováveis pra 2 menores. A diferença em impacto sobre o relatório financeiro vale muito mais que o investimento.
Big Four não é monstro. É processo. Quem conhece o processo passa. Quem improvisa paga.
O custo de ressalva vs custo de preparacao
Vamos fazer a conta rápida. Preparação de 30 dias custa entre R$ 20 mil e R$ 60 mil em consultoria. Ressalva material em auditoria pode custar:
- Aumento de prêmio de D&O: R$ 50-200 mil/ano
- Aumento de spread bancário: R$ 100 mil-1 mi/ano dependendo da dívida
- Custo reputacional difuso (perda de confiança do mercado): incalculável
- Bônus zerados de executivos: variável
- Custo de remediação no ano seguinte: 3-5x o que custaria preparação prévia
Em qualquer cenário realista, preparação paga. E paga muitas vezes. Só não tem cliente que faz a conta antes — faz depois, quando já levou a ressalva.
Veja também
Como ImplementarComo preparar seu ERP para auditoria em 60 dias (sem reescrever processos)
60 dias é pouco para implementar controles do zero. Mas é suficiente para organizar o que já existe, documentar o que funciona e fechar os gaps críticos.
RiscosOs 8 riscos mais comuns em auditorias de ERP — todos evitáveis
Depois de revisar dezenas de ERPs, os mesmos 8 problemas aparecem. Todos evitáveis. Todos custosos quando o auditor encontra antes de você.
Perguntas frequentes
O que a Big Four verifica em uma auditoria de ERP?
Os auditores verificam: 1) Controle de acessos — quem tem acesso ao quê e se há segregação de funções. 2) Gestão de mudanças — como alterações no sistema são aprovadas e documentadas. 3) Integridade de dados — se os dados não foram manipulados indevidamente. 4) Interfaces — se os dados que entram de outros sistemas chegam completos e sem alteração. 5) Jobs automáticos — se processos batch rodaram quando deveriam.
Quanto tempo dura uma auditoria de ERP?
A fase de fieldwork de ITGC em ERP dura tipicamente 2 a 4 semanas para empresas de médio porte, com equipe de 2-4 auditores. Para grandes corporações com múltiplos ERPs e sistemas integrados, pode durar 6 a 8 semanas. O período de preparação interna recomendado é de 60 a 90 dias antes do início.
Qual ERP é mais fácil de auditar — SAP, Oracle ou Totvs?
SAP e Oracle têm funcionalidades nativas de auditoria mais maduras, com logs detalhados e controles de acesso granulares. Totvs requer mais configuração manual para gerar evidências adequadas. Mas a facilidade de auditoria depende mais de como o sistema foi implementado e mantido do que do sistema em si — um SAP mal configurado é mais difícil de auditar do que um Totvs bem organizado.
O que a Big Four NÃO procura (e empresas perdem tempo arrumando)
Tem uma coisa que poucos consultores explicam: nem todo achado é igual. O auditor Big Four tem prioridades claras, e empresa que gasta esforço onde o auditor não vai olhar perde tempo.
O que o auditor tipicamente NÃO prioriza no ERP: aparência da interface, customizações estéticas, performance subjetiva, terminologia interna inconsistente, módulos que a empresa não usa, integrações com sistemas marginais. Empresa que limpa interface ou padroniza terminologia em corrida final perde tempo.
O que ele MUITO prioriza: rastreabilidade de transações materiais, segregação de funções nos processos críticos (compra-pagamento, venda-recebimento, folha), evidência de aprovação em mudanças no ERP, integridade de dados mestre (fornecedores, clientes, plano de contas), reconciliações periódicas com sistemas satélites.
Saber onde concentrar esforço economiza 30-40% do investimento de preparação. CIO que entende essa diferença chega à auditoria mais leve e mais barata.
Os processos críticos: onde a Big Four sempre olha
Três processos concentram 70% da atenção do auditor Big Four em qualquer auditoria de ERP:
Procure-to-Pay (P2P) — desde a requisição de compra até o pagamento ao fornecedor. O auditor vai testar segregação (quem aprova ordem de compra não pode aprovar pagamento), aprovação dentro de alçada, integridade do cadastro de fornecedor, três-via-match (pedido, recebimento, nota fiscal), tratamento de exceções.
Order-to-Cash (O2C) — desde o pedido do cliente até o recebimento. O auditor olha cadastro de cliente, limite de crédito, faturamento, reconhecimento de receita (especialmente em IFRS 15), provisão para perdas esperadas, gestão de inadimplência.
Record-to-Report (R2R) — fechamento contábil e geração de relatórios. Aqui o foco é lançamentos manuais (especialmente os feitos em janelas próximas ao fechamento), reconciliações de contas, ajustes finais, controle do fluxo de aprovação contábil.
Empresa que está sólida nesses três processos tem auditoria tranquila. Empresa frágil em qualquer um deles vira ressalva.
O que conta como evidência defensável
Outra confusão recorrente: o que serve como evidência adequada. O auditor não aceita qualquer documento — tem critérios bem definidos.
Evidência boa: registro automático do sistema com timestamp e identidade de usuário; trilha de aprovação no fluxo eletrônico (com nome, data, hora); relatório gerado pelo ERP com periodicidade definida; ata de reunião assinada eletronicamente; reconciliação mensal arquivada com responsável claro.
Evidência fraca ou inaceitável: email isolado mencionando aprovação verbal; planilha sem controle de versão ou autor; documento PDF gerado posteriormente ao fato; testemunho oral sem registro; print de tela sem contexto temporal.
Padrão prático: pergunte-se "essa evidência sobrevive ao olhar do auditor em 18 meses?". Se a resposta envolve "depende de quem estará aqui" ou "depende de procurar muito", a evidência não é defensável. Empresa madura tem evidência automatizada, periódica, arquivada com retenção definida.