IT General Controls (ITGC) são os controles de TI que sustentam a confiabilidade de toda a informação financeira processada no ERP. Sem ITGC sólidos, auditores não conseguem confiar em nenhum relatório gerado pelo sistema — independente de como a contabilidade foi lançada.
Por Anderson Chipak · ALC Consultoria · Atualizado abr/2026
Controle de Acesso Lógico
ITGC-AC · Maior volume de achados em auditoria
Controles que governam quem pode acessar o ERP, com quais permissões e se essas permissões são revisadas periodicamente. É o domínio com maior volume de achados em auditorias SOX no Brasil — porque a maioria das empresas provisiona acesso mas nunca revisa.
O que auditores verificam
› Processo formal de concessão e revogação de acessos
› Revisão periódica de perfis (ao menos semestral)
› Ausência de usuários genéricos ou compartilhados
› Mapeamento e monitoramento de conflitos de SoD
› Revogação imediata de ex-funcionários
Evidências esperadas
› Formulários de solicitação de acesso aprovados
› Relatório de revisão de acessos assinado
› Matriz de segregação de funções (SoD)
› Log de desativação de conta pós-desligamento
› Política de senha com complexity rules
Falha mais comum
Usuários com acesso acumulado ao longo de anos, sem nenhuma revisão formal. Auditores solicitam lista de usuários ativos e cruzam com RH — o delta (ex-funcionários com acesso ativo) é achado imediato.
Caso real
Em auditoria Oracle ERP no setor de educação, encontramos 47 usuários ativos de ex-funcionários — incluindo 3 com perfil de aprovação de pagamentos. Nenhum tinha acessado o sistema, mas a ausência do controle gerou achado Crítico que travou a auditoria EY por 3 semanas.
Gestão de Mudanças
ITGC-CM · Segundo maior volume de achados
Controles que garantem que qualquer alteração no ERP — parametrização, código, relatório, interface — passe por aprovação documentada, seja testada fora de produção e tenha rastreabilidade completa. Sem esse domínio, auditores não conseguem garantir que o sistema não foi alterado entre os períodos auditados.
O que auditores verificam
› Processo documentado de request de mudança
› Aprovação formal antes de ir para produção
› Ambiente de dev/teste separado de produção
› Log de mudanças em produção (quem/quando/o quê)
› Processo para mudanças de emergência
Evidências esperadas
› Tickets de change request aprovados
› Evidência de teste em ambiente não-produtivo
› Aprovação da área de negócio pré-deploy
› Log do sistema de controle de versões
› Política de gestão de mudanças homologada
Falha mais comum
Mudanças de emergência sem processo formal — equipe faz direto em produção e "documenta depois". Auditores pedem os tickets do período e comparam com os logs de sistema. Quando não batem, é achado.
Operações de TI
ITGC-OPS · Monitoramento, incidentes e continuidade
Controles que garantem que o ERP opera de forma confiável e previsível — jobs críticos monitorados, incidentes tratados formalmente, capacidade gerenciada e continuidade planejada. Auditores verificam se a operação é controlada ou reativa.
O que auditores verificam
› Monitoramento de jobs críticos (fechamento, fiscal)
› Processo formal de gestão de incidentes
› Gerenciamento de patches e atualizações
› Plano de continuidade com RTO/RPO definidos
› Monitoramento de capacidade e performance
Evidências esperadas
› Relatórios de monitoramento de jobs (alertas, falhas)
› Tickets de incidente com análise de causa raiz
› Registro de patches aplicados com aprovação
› BCP/DRP documentado e testado
› SLA de disponibilidade contratado e monitorado
Falha mais comum
Jobs críticos de fechamento contábil sem monitoramento automatizado — equipe só descobre falha quando área financeira reporta que o relatório está errado. Auditores pedem logs de execução do período e encontram falhas silenciosas não tratadas.
Backup e Recuperação
ITGC-BU · O que mais falha em teste real
Controles que garantem que os dados do ERP podem ser recuperados em caso de falha. Auditores não aceitam "fazemos backup todo dia" como resposta — exigem política documentada, RPO/RTO definidos e evidência de teste de restore bem-sucedido.
O que auditores verificam
› Política de backup documentada e homologada
› RPO e RTO definidos formalmente
› Testes de restauração executados ao menos anuais
› Cópias em localização física separada ou cloud
› Monitoramento de integridade dos backups
Evidências esperadas
› Política de backup com frequência, retenção, responsável
› Log de execução de backup com status
› Relatório de teste de restore assinado
› Confirmação de offsite/cloud com criptografia
› Alerta de falha de backup configurado
Falha mais comum
Empresa faz backup diário mas nunca testou o restore. Auditores pedem evidência do último teste de recuperação — a equipe não tem nenhuma. Achado garantido, e o risco real é alto: backups corruptos são comuns e só se descobrem quando mais precisam.
15 perguntas cobrindo todos os domínios ITGC — score por área e gaps críticos em 5 minutos.
Fazer o checklist ITGC →Os 4 domínios
Controle de Acesso Lógico
Gestão de Mudanças
Operações de TI
Backup e Recuperação
Auditoria ALC
Anderson Chipak mapeia e estrutura os 4 domínios ITGC antes da auditoria externa. Success fee sobre valor mensurável.
Diagnóstico gratuito 60 min →Por Anderson Chipak — auditor de sistemas críticos · ALC
