|
Auditoria de ERP
Por Anderson Chipak · chipak.com.br
Checklist ITGC — 15 Pontos nos 4 Domínios
Avalie sua empresa nos domínios que auditores Big Four verificam no ERP. Score por área e gaps críticos.
auditoria-erp.com.br/checklist/ — versão interativa com score automático
Empresa
Responsável
Data
Domínio 1 — Controle de Acesso · 4 questões · máx 8 pts
1.Existe processo formal documentado para concessão e revogação de acessos no ERP — incluindo checklist de desligamento de funcionários?
2.A revisão periódica de perfis de usuário é realizada ao menos semestralmente, com relatório assinado pelo responsável?
3.Não existem usuários genéricos, compartilhados ou contas de serviço sem responsável definido em módulos críticos do ERP?
4.Conflitos de segregação de funções (SoD) estão mapeados nos módulos críticos e monitorados ativamente?
Domínio 2 — Gestão de Mudanças · 4 questões · máx 8 pts
5.Mudanças em produção — parametrizações, configurações, relatórios críticos — passam por aprovação formal documentada antes de serem implementadas?
6.Existe ambiente de desenvolvimento ou teste separado de produção, e mudanças são testadas nesse ambiente antes do deploy?
7.Mudanças de emergência (hotfixes) têm processo documentado com aprovação retroativa e revisão pós-implementação obrigatória?
8.Alterações em parametrizações críticas — tabelas de contas, configurações fiscais, perfis de autorização — são rastreadas com log de quem alterou, quando e o quê?
Domínio 3 — Operações de TI · 4 questões · máx 8 pts
9.Jobs críticos do ERP — fechamento contábil, integração fiscal, processamento de folha — têm monitoramento automatizado com alertas em caso de falha?
10.Existe plano de continuidade com RTO e RPO definidos e testados formalmente para o ERP e sistemas críticos integrados?
11.Patches e atualizações do ERP e do sistema operacional seguem processo documentado de aprovação e são aplicados dentro de prazo definido?
12.Incidentes que afetam o ERP são registrados formalmente com análise de causa raiz e plano de ação para incidentes recorrentes?
Domínio 4 — Backup e Recuperação · 3 questões · máx 6 pts
13.Backups do ERP — base de dados, configurações, arquivos de parametrização — são realizados conforme política documentada com alerta automático de falha?
14.Testes de restauração são executados ao menos uma vez por ano, com resultado documentado e assinado pelo responsável técnico?
15.Cópias de backup existem em localização física separada do servidor de produção (offsite ou cloud), com criptografia aplicada?
Apuração de score
| Domínio | Questões | Máx | Pontos obtidos | % |
|---|---|---|---|---|
| Controle de Acesso | 1–4 | 8 | _____ | _____ |
| Gestão de Mudanças | 5–8 | 8 | _____ | _____ |
| Operações de TI | 9–12 | 8 | _____ | _____ |
| Backup e Recuperação | 13–15 | 6 | _____ | _____ |
| TOTAL | 1–15 | 30 | _____ | _____ |
Interpretação: <50% = Gaps críticos · 50–74% = Parcialmente adequado · 75–89% = Maduro · ≥90% = Big Four ready