Recebo umas três ligações por trimestre com o mesmo padrão: "Anderson, a auditoria externa chega em 60 dias e eu acabei de descobrir que estamos despreparados. Dá tempo?"
Dá. Mas vai ser corrido. E vai ter prioridade clara: você não vai conseguir corrigir tudo, então vai corrigir o que mais reprova.
Vou te mostrar o plano de 60 dias que funciona. Já apliquei em mais de 15 clientes nos últimos 4 anos. Taxa de sucesso (auditoria sem ressalvas materiais): em torno de 80%.
Semanas 1-2: Diagnóstico de acesso e perfis críticos
Acesso é o controle mais visível e mais frequentemente reprovado. Por isso começa aqui.
Dia 1-3: Extração de dados. Lista completa de usuários ativos no ERP. Lista de perfis e permissões. Última atividade de cada usuário. Cross-check com base do RH (funcionários ativos).
Dia 4-7: Análise. Quantos usuários ativos sem corresponder a funcionário ativo? Quantos usuários sem atividade nos últimos 90 dias? Quantos usuários com perfil privilegiado sem justificativa documentada?
Em quase todos os clientes eu encontro algo entre 5% e 15% de usuários problemáticos. Numa base de 400 usuários, isso é entre 20 e 60 contas a limpar.
Dia 8-12: Limpeza. Desativação de usuários problemáticos com aprovação formal da gestão. Documentação da decisão. Comunicação aos gestores das áreas.
Dia 13-14: Documentação do processo. Procedimento formal de criação, alteração e exclusão de usuários. Aprovado pelo gestor de TI e pela diretoria. Datado.
Quando o auditor chegar no dia 60, ele vai pedir essa lista. Vai pedir o procedimento. Vai pedir uma amostra de criação e exclusão de usuários nos últimos 90 dias com evidência. Se você fez esse trabalho nos primeiros 14 dias, tem tudo pronto.
O que extrair exatamente do ERP nas primeiras 72h
As consultas que rendem mais resultado no inicio:
- Lista de usuarios ativos com data de criacao, ultimo login, perfil principal
- Lista de usuarios com perfil administrativo ou privilegiado (independente do nome)
- Lista de usuarios sem login nos ultimos 90 dias
- Lista de usuarios genericos (SAP_ALL, DBA, GENERICO, etc.)
- Cross-check de usuarios de TI com perfil de negocio (e vice-versa)
- Mudancas de perfil nos ultimos 12 meses
Essas seis listas, cruzadas com a base do RH, ja revelam 80% dos problemas que o auditor encontraria.
Semanas 3-4: Trilha de auditoria e logs de mudança
A segunda área de maior risco é gestão de mudanças. E aqui o desafio é maior: você não pode "inventar" um histórico de mudanças que não documentou.
O que dá pra fazer:
Dia 15-18: Levantamento das mudanças do ano. Lista de todas as mudanças em produção do ERP nos últimos 12 meses. Não importa se documentou ou não — você precisa saber o que mudou. Use os logs do banco, do sistema, do versionamento. Mesmo que esteja em formato bruto.
Dia 19-25: Reconstituição parcial. Pegar as mudanças mais relevantes (acima de impacto X) e reconstituir documentação posterior. Conversar com quem fez, conversar com o gestor da área, formalizar aprovação posterior datada. Isso não é falsificar — é documentar atrasadamente um fato real.
O auditor entende reconstituição parcial. O que ele não aceita é tentativa de esconder mudanças que ocorreram. Honestidade aqui é estratégica.
Dia 26-28: Procedimento formal pra frente. Implementação de processo formal de change management daqui em diante. Tickets em sistema (Jira, ServiceNow, Redmine, ou planilha estruturada). Aprovação formal antes de cada mudança. Registro de execução.
Quando o auditor chegar, ele vai ver: mudanças antigas com documentação parcial mas honesta + mudanças recentes (últimos 30 dias) com documentação completa. Dá pra defender.
Auditor sabe distinguir empresa que reconstitui de boa-fé de empresa que tenta enganar. A primeira sai com apontamento menor. A segunda sai com ressalva grave.
Reconstituicao de bom-fe: o que e aceitavel
Reconstituicao parcial de documentacao e aceita pelo auditor quando:
- A reconstituicao e feita por quem realmente conhece o fato (nao e invencao)
- A data da reconstituicao e diferente da data original do fato (transparente)
- O documento reconstituido cita o motivo do atraso na documentacao
- Ha intencao demonstravel de melhorar o processo daquele ponto pra frente
Reconstituicao desonesta — onde se inventa data, aprovador ou fatos — e fraude. O auditor sabe identificar. Sempre. E o impacto e gravissimo.
Boa-fe e estrategia, nao virtude. Compensa.
Semanas 5-6: Segregação de funções — revisão e ajuste
SoD em 60 dias não tem como ficar perfeito. Mas dá pra organizar.
Dia 29-32: Matriz de SoD. Documentação formal das combinações de perfil incompatíveis no ERP. Pelo menos os 20-30 conflitos mais críticos. Aprovação da diretoria. Datada.
Dia 33-38: Análise da base atual. Cruzar a matriz com os usuários reais. Identificar todas as violações. Listar.
Dia 39-42: Tratamento. Pra cada violação, três opções:
- Remover o perfil conflitante (se o usuário não usa mesmo)
- Mover responsabilidade pra outra pessoa
- Manter o conflito mas implementar controle compensatório documentado (revisão mensal de todas as transações por aquela combinação, por exemplo)
Quando o auditor pedir matriz de SoD, você tem. Quando pedir análise, você tem. Quando pedir as exceções e os controles compensatórios, você tem.
Por que matriz de SoD perfeita nao e o objetivo em 60 dias
Em 60 dias voce nao vai construir matriz de SoD perfeita. Vai construir matriz defensavel: cobre os 20-30 conflitos mais criticos, tem analise feita, exceções tratadas com controle compensatorio, e plano de evolucao formalizado.
Auditor aceita maturidade em construcao se ela esta documentada e a empresa demonstra plano para evoluir. O que ele nao aceita e ausencia total ou pretensao de perfeicao sem evidencia.
Valide se seus controles ERP estão prontos com o checklist gratuito.
Fazer o Checklist de Auditoria ERP →Semanas 7-8: Testes e simulação de auditoria
Os últimos 14 dias são pra testar o que foi feito e treinar a equipe.
Dia 43-49: Auditoria interna completa. Você ou alguém da empresa que não esteve no projeto faz papel de auditor externo. Lista de documentos solicitada. Tempo de resposta cronometrado. Inconsistências anotadas.
Esse exercício revela onde sua empresa ainda está fraca. Geralmente entre 5 e 12 pontos. Tem 11 dias pra corrigir antes do auditor real chegar.
Dia 50-55: Correção das inconsistências encontradas. Foco total. Documentos faltando, evidências sem data, procedimentos não comunicados.
Dia 56-58: Treinamento das pessoas-chave. O auditor vai entrevistar 5-10 funcionários. Geralmente: gestor de TI, gestor de segurança, alguns gestores de área, talvez o CFO. Cada uma dessas pessoas precisa saber responder: qual é a política, onde está documentada, qual procedimento da área dela, como funciona o controle de mudança, como tratam incidentes.
Treinamento aqui não é palestra. É simulação. Eu sento com cada pessoa e faço perguntas reais. Refino até a resposta sair fluida.
Dia 59-60: Checklist final. Tudo pronto pro dia 1. Documentos organizados em pasta única. Acessos do auditor configurados. Sala de auditoria reservada. Café comprado.
O briefing das pessoas-chave antes da auditoria
O briefing das pessoas que vao ser entrevistadas precisa cobrir:
- Qual e o escopo da auditoria e por que esta acontecendo
- Quais sao os documentos chave que tocam a area dela
- O que ela faz no dia a dia que e SOX-relevante
- Como ela deve responder: direto, sem rodeio, dizendo "nao sei" quando nao sabe
- Por que nao tentar improvisar respostas que ela nao sabe
- Para quem escalar perguntas dificeis durante a auditoria
Improvisacao em entrevista de auditoria e o que mais reprova. Auditor identifica em 30 segundos quem esta improvisando.
O que fazer quando o auditor chegar no dia 1
O primeiro dia é importante. O auditor está formando primeira impressão.
O que eu recomendo:
- Reunião de abertura curta e profissional. Apresentação rápida do escopo, das pessoas, dos sistemas. Sem improvisação.
- Pasta digital ou física com os documentos básicos já organizados. Política, escopo, contatos, procedimentos principais.
- Ponto focal único da auditoria. Uma pessoa coordena todas as requisições. Não deixar auditor caçar gente.
- Tempo de resposta como métrica de qualidade. Meta: nenhum documento solicitado leva mais de 24h pra ser entregue.
- Reunião diária de status — 30 minutos no final do dia. O que foi pedido, o que está pendente, próximos passos.
Empresa que conduz a auditoria com essa estrutura termina o trabalho com auditor satisfeito. Auditor satisfeito significa relatório mais favorável. Não sai sem apontamento, mas sai sem ressalva material.
O cliente que mencionei lá no início, que me ligou com 60 dias pra auditoria? Recebeu 4 apontamentos menores e 0 ressalvas materiais. Investimento total: R$ 38 mil em 8 semanas. Comparação: o ano anterior, sem preparação, tinha recebido 11 apontamentos e 2 ressalvas. A diferença pagou o investimento três vezes só na precificação do prêmio de seguro D&O da diretoria.
A reuniao de fechamento diario com o time interno
Tem outro ritual que poucos clientes adotam mas que vale ouro: reuniao curta (15 min) toda noite com o time interno do projeto. Pauta: o que o auditor pediu hoje, o que respondemos, o que ficou pendente, o que esperar amanha.
Essa reuniao mantem todo mundo alinhado, identifica problemas antes de escalarem, e prepara o time pro proximo dia. Sem ela, cada um faz por conta, e surgem inconsistencias entre respostas de diferentes pessoas que o auditor capta.
Empresa que adota esse ritual termina a auditoria mais fluida. Pequeno custo, grande beneficio.
Veja também
Guia CompletoO que a Big Four vai procurar no seu ERP — e como se preparar antes que ela chegue
Auditores de Big Four têm um roteiro. ERP com Oracle, SAP ou Totvs: os pontos de verificação são os mesmos. Saiba o que eles procuram e o que você precisa ter pronto.
RiscosOs 8 riscos mais comuns em auditorias de ERP — todos evitáveis
Depois de revisar dezenas de ERPs, os mesmos 8 problemas aparecem. Todos evitáveis. Todos custosos quando o auditor encontra antes de você.
Perguntas frequentes
É possível preparar o ERP para auditoria em apenas 60 dias?
Sim, para remediação dos pontos críticos — não para implementação completa do zero. Em 60 dias dá para: semanas 1-2 (inventariar usuários e remover acessos desnecessários), semanas 3-4 (documentar processos de mudança dos últimos 6 meses), semanas 5-6 (implementar revisão formal de acessos), semanas 7-8 (simular a coleta de evidências e identificar gaps). O que não dá para fazer em 60 dias é retroativamente criar evidências que não existem.
Quais são as prioridades para preparar o ERP antes de uma auditoria?
Em ordem: 1) Corrigir acessos de usuários inativos ou ex-funcionários — é verificado primeiro e mais rapidamente. 2) Documentar as últimas mudanças em produção — o auditor vai pedir amostra. 3) Verificar se jobs críticos rodaram e têm log. 4) Garantir que backups foram feitos e testados. 5) Documentar segregação de funções — quem pode criar fornecedor não pode aprovar pagamento.
O que fazer se descobrir problemas graves no ERP perto da auditoria?
Seja transparente com o auditor — descobrir e remediar antes da auditoria é muito melhor do que o auditor descobrir durante. Documente o que foi encontrado, quando foi encontrado e o que foi feito para corrigir. Auditores valorizam controles compensatórios e gestão proativa de risco. O que eles não toleramos é surpresa com histórico de negligência.
O cronograma realista de 60 dias
Quando o cliente me procura com 60 dias até a auditoria, eu defino plano sem ilusões. Em 60 dias dá pra eliminar os achados mais comuns. Não dá pra construir programa de governança maduro do zero — então o foco é triagem pragmática.
Semana 1-2: triagem. Inventário de usuários ativos, perfis privilegiados, mudanças recentes em produção, status de reconciliações. Identificação rápida dos top 10 gaps mais visíveis.
Semana 3-4: limpeza. Desativação de contas órfãs, revogação de privilégios desnecessários, formalização de mudanças recentes que ficaram sem documentação. Trabalho operacional intenso, alto impacto.
Semana 5-6: processos. Implementação de revisões periódicas formais (acessos, mudanças, reconciliações). Definição de fluxo de aprovação em sistemas críticos. Treinamento focado dos donos de processo.
Semana 7-8: simulação. Auditoria interna leve simulando o que o auditor externo vai testar. Identificação de gaps residuais. Plano de remediação para os que sobraram. Documentação final organizada.
Quem segue esse cronograma chega à auditoria com 70-80% dos achados típicos eliminados. Não é perfeição — é eficiência sob pressão.
A entrevista do auditor: como se preparar
Parte significativa do trabalho do auditor Big Four é entrevista. O dono do processo de pagamento sentado em frente ao auditor, descrevendo o fluxo. O DBA explicando gestão de mudanças. O controller explicando o fechamento.
Esse momento revela o nível real de maturidade. Auditor experiente identifica em 5 minutos se a pessoa conhece o processo de verdade ou apenas leu o procedimento. E se a resposta diverge do que está documentado, ressalva imediata.
O preparo certo inclui: cada dono de processo familiarizado com a documentação oficial do seu fluxo; resposta a perguntas-padrão ensaiadas com a equipe; sem improvisação ou inventar resposta quando não sabe; reconhecimento honesto de limitações ("esse cenário é raro, não temos controle automatizado, mas mitigamos via X").
Erro frequente: o gestor responde com versão idealizada do processo, diferente da realidade operacional. Auditor pega imediatamente, porque depois ele vai checar amostra na evidência — e os achados não vão bater com o que foi descrito. Honestidade na entrevista paga em credibilidade.
Documentação mínima: o pacote que o auditor abre primeiro
Numa auditoria Big Four típica, há documentos que sempre são solicitados nos primeiros dias. Empresa que tem esse pacote pronto economiza 40-60 horas iniciais e demonstra maturidade.
O pacote essencial: política de segurança da informação aprovada e vigente; inventário completo de sistemas no escopo SOX; matriz de risco e controle; SoD matrix (quem pode fazer o quê em cada sistema); inventário de usuários com perfis; registro das últimas 50 mudanças no ERP com aprovações; relatório das últimas 4 revisões trimestrais de acesso; lista de incidentes do ano com tratamento; relatórios de reconciliação dos últimos 3 meses; plano de continuidade testado nos últimos 12 meses.
Tempo de preparação do pacote do zero: 80-160 horas. Tempo se a empresa já mantém documentação viva: 8-16 horas (basta organizar). A diferença é justamente o sinal de maturidade que o auditor está medindo.