ALC | Auditoria de ERP
Checklist ITGC →
SAP

Auditoria SAP — módulos críticos, t-codes e segregação de funções

SAP é o ERP mais auditado em ambientes SOX no Brasil. Auditores com experiência em SAP sabem exatamente onde procurar — os módulos de maior risco, os t-codes que revelam conflitos e os pontos cegos mais comuns em empresas que nunca foram auditadas antes.

Por Anderson Chipak · ALC Consultoria · Atualizado abr/2026

Módulos críticos por nível de risco

RISCO ALTO

FI — Financial Accounting

Módulo que processa todas as transações financeiras — lançamentos contábeis, pagamentos, conciliações. Auditores verificam quem pode lançar, aprovar e pagar — e se essas funções estão separadas.

Conflitos de SoD mais auditados

Criar fornecedor + aprovar pagamento · Lançar nota + aprovar lançamento · Criar cliente + liberar crédito · Acesso a contas de reconciliação + autorização de pagamento

RISCO ALTO

MM — Materials Management / Procurement

Módulo de compras e gestão de materiais. O ciclo procure-to-pay completo passa por aqui — e é onde fraudes de procurement se materializam quando SoD não está implementado.

Conflitos de SoD mais auditados

Criar pedido de compra + aprovar pedido · Criar/alterar mestre de fornecedor + processar pagamento · Receber mercadoria + lançar nota fiscal · Criar requisição + converter em pedido + receber

RISCO MÉDIO-ALTO

HR/HCM — Human Resources / Payroll

Folha de pagamento é auditada separadamente por processar dados sensíveis e valores altos. Auditores verificam quem pode criar funcionário fantasma, alterar salário e aprovar a folha.

Conflitos de SoD mais auditados

Criar funcionário + processar folha · Alterar dados de pagamento + executar folha · Aprovar ponto/frequência + processar folha · Acesso a dados salariais + autorizações de pagamento

RISCO MÉDIO-ALTO

SD — Sales and Distribution

Módulo de vendas e distribuição. Risco concentrado em concessão de descontos não autorizados, alteração de preços e liberação de crédito sem aprovação adequada.

Conflitos de SoD mais auditados

Criar pedido de venda + aprovar desconto + faturar · Liberar crédito de cliente + aprovar pedido bloqueado · Alterar preço de tabela + criar pedido de venda

T-codes que auditores sempre pedem

T-codes de risco alto — acesso deve ser restrito e justificado

T-Code
Descrição
Risco
Controle esperado
SA38
Executar programa ABAP
Critico
Restrito a admin · log obrigatório
SE38
Editor de programas ABAP
Critico
Apenas em ambiente de dev
SU01
Manutenção de usuários
Alto
Exclusivo da equipe de segurança
SM30
Manutenção de tabelas
Alto
Restrito · alteração via change request
SCC4
Configuração de mandante
Critico
Produção bloqueado para alteração direta
SU24
Proposta de autorização
Médio
Revisão por security team
SM37
Monitoramento de jobs
Médio
Acesso de leitura para operações
FB50 / F-02
Lançamento contábil manual
Médio
Aprovação dupla para valores acima de limite

SAP GRC — o que resolve e o que não resolve

O que o SAP GRC resolve

› Detecção automatizada de conflitos de SoD em tempo real

› Workflow de request de acesso com aprovação multinível

› Relatórios de conformidade prontos para auditors

› Acesso de emergência (Firefighter) com log completo

› Revisão periódica de acessos com evidência automática

O que o SAP GRC não resolve sozinho

› Matriz de risco desatualizada = alertas irrelevantes

› Conflitos "aceitos" sem justificativa documentada

› Controles compensatórios não mapeados

› GRC configurado mas não operado — "ferramenta fantasma"

› Usuários com perfil SAP_ALL ou acesso equivalente

Sem SAP GRC — o que fazer

A maioria das médias empresas com SAP não tem GRC. A saída é construir controles compensatórios documentados: revisão manual de SoD com relatório de autorização (SU10/SUIM), workflow de aprovação fora do sistema (ServiceNow, Jira, planilha auditável) e revisão semestral de acessos com evidência assinada. Auditores aceitam controles compensatórios quando bem documentados e com histórico de execução.

Audit trail SAP vs logs de aplicação

Auditores fazem distinção crítica entre o audit trail nativo do SAP (Change Documents, FI Document Journal) e os logs de aplicação (SM21, security audit log). Empresas que confundem os dois apresentam evidências que não satisfazem os auditores.

Audit trail nativo — o que auditores pedem

› Change Documents — alterações em dados mestre

› FI Document Journal — rastreabilidade de lançamentos

› Security Audit Log (SM20) — acessos e transações

› Table Change Logging — alterações via SM30

Erros frequentes na apresentação de evidências

› Apresentar logs de sistema operacional no lugar de SAP logs

› Security Audit Log desativado — sem rastreabilidade

› Table Change Logging desabilitado em tabelas críticas

› Logs retidos por período insuficiente (<12 meses)

Sua empresa está pronta para uma auditoria SAP?

15 pontos ITGC cobrindo acesso, mudanças, operações e backup — score por domínio em 5 minutos.

Fazer o checklist ITGC →

Neste site

Hub Auditoria ERP Controles ITGC → Auditoria SAP Riscos em ERP Checklist ITGC

Módulos auditados

› FI — Financial Accounting

› MM — Materials Management

› HR/HCM — Folha de Pagamento

› SD — Sales and Distribution

Auditoria ALC

Mapeamento de SoD, t-codes de risco e preparação de evidências para auditoria SAP. Success fee sobre valor mensurável.

Diagnóstico gratuito 60 min →

Por Anderson Chipak — auditor de sistemas críticos · ALC