ALC | Auditoria de ERP
Checklist SAP →
SAP ERP · S/4HANA

Auditoria SAP para SOX: GRC, SoD e gestão de transportes

SAP tem o ecossistema de controles mais robusto do mercado — mas também a curva de aprendizado mais íngreme. O SAP GRC é poderoso, mas exige configuração especializada para ser auditável.

Por Anderson Chipak · ALC · Atualizado abr/2026

Módulos SAP no escopo SOX

Financeiro (obrigatório)

  • → FI — Financial Accounting
  • → CO — Controlling
  • → TR — Treasury
  • → Special Purpose Ledger

Operacional (avaliar)

  • → MM — Materials Management
  • → SD — Sales & Distribution
  • → PP — Production Planning
  • → HCM — HR (folha de pagamento)

SAP GRC — Access Control

O SAP GRC Access Control é o módulo de referência para gestão de SoD no SAP. Com ele configurado corretamente, o auditor consegue evidências automáticas — sem GRC, o processo é manual e mais arriscado.

  • Access Risk Analysis (ARA): detecta conflitos SoD com base em ruleset pré-configurado. Resultado deve ser exportado e apresentado ao auditor com evidência de remediação.
  • Emergency Access Management (EAM / Firefighter): controla e loga acesso de emergência a produção. Fundamental para SOX — auditores sempre verificam quem usou e quando.
  • Access Request Management (ARM): provisioning documentado. Trilha de quem solicitou, quem aprovou, quando.
  • User Access Review (UAR): revisão periódica com aprovação do gestor. GRC automatiza notificação e coleta de aprovações.

Sem SAP GRC — o que fazer

Se a empresa não tem SAP GRC, precisa compensar com: (1) matriz de SoD manual mantida pelo time de segurança, (2) relatório de conflitos extraído via transação SU10/SU01/SUIM regularmente, (3) processo de revisão semestral documentado manualmente. Auditáveis, mas mais trabalhosos.

Gestão de transportes SAP

O sistema de transportes SAP (Transaction Management System — TMS) é o controle de mudanças nativo. Auditores verificam se o TMS está configurado corretamente e se há evidências de aprovação antes dos transportes.

  • Paisagem obrigatória: DEV → QAS → PRD (3 mandantes mínimos para SOX)
  • Importação em PRD bloqueada para desenvolvedores — apenas transportadores/Basis autorizados
  • Log de transportes (transação SE10/SCC1): data, objeto, usuário — evidência automática
  • Aprovação antes da importação: Change Request no ITSM ou CAB com ata

Audit log no SAP (SM20/STAD)

O SAP Security Audit Log (SM20) registra eventos críticos de segurança. Precisa estar habilitado nos sistemas financeiros com retenção adequada.

  • SM20 habilitado em PRD com filtros: logon failures, autorização denied, mudanças em perfis
  • Retenção do arquivo de log: mínimo 5 anos (SAP arquiva localmente por padrão 30-90 dias)
  • Mudanças em dados mestre (fornecedores, contas contábeis): FI log habilitado via parametrização

Checklist de auditoria SAP

Controles específicos do SAP — GRC, transportes, SoD, SM20. Score + PDF.

Fazer checklist SAP →

Plataformas

Oracle Cloud ERP → SAP ERP / S/4HANA ServiceNow ITSM

Ferramenta

Checklist SAP SOX

Fazer agora →

Relacionado

→ sox-ti.com.br → Diagnóstico ALC

Por Anderson Chipak — auditor de sistemas críticos · ALC