SOX em ERP, Legado, Cloud e SaaS — Obrigações por Sistema

ERP (Oracle, SAP, TOTVS)

O ERP é o coração da auditoria SOX em TI — é onde vivem os lançamentos contábeis, contas a pagar/receber, consolidação financeira. O auditor vai direto para o ERP.

Acesso lógico no ERP

→ Perfis de acesso documentados e mapeados à função do usuário
→ Matriz de SoD: quais perfis não podem coexistir no mesmo usuário
→ Revisão semestral dos perfis (print + aprovação do gestor)
→ Usuarios de sistema (batch, integração) com privilégio mínimo
→ Acesso do suporte do fornecedor documentado e temporário

Mudanças no ERP

→ Transporte de customizações: aprovado em reunião CAB, testado em QA
→ Parametrização financeira: qualquer alteração em plano de contas, regra de lançamento, integração
→ Acesso de emergência em produção: documentado como exceção, revisado no pós

Logs no ERP

→ Log de acesso habilitado nos módulos financeiros
→ Log de mudanças nos dados mestre (fornecedores, plano de contas)
→ Retenção mínima: 5 anos (SOX), 5 anos (CFC), 10 anos (alguns casos)

Case ALC — Oracle ERP na educação

Empresa de educação com Oracle Cloud: estruturação completa de ITGC com 100% de rastreabilidade SOX e R$ 127k/ano de economia. Auditoria aprovada sem ressalvas.

Sistemas legados (mainframe, sistemas próprios, COBOL)

Sistemas legados são o maior desafio SOX em TI: muitos não têm log de auditoria nativo, controle de acesso limitado, e documentação inexistente.

Abordagem para legado sem log nativo

Quando o sistema não tem log de auditoria configurável:

→ Log de banco de dados (ativação de DDL/DML audit no SQL Server, Oracle DB)
→ Log de acesso de rede ao servidor (firewall, VPN)
→ Controles compensatórios: aprovação dupla em processos manuais
→ Documentar a limitação explicitamente no relatório de controles

Atenção: legado é "scope in" se processa dados financeiros

Muitas empresas tentam excluir sistemas legados do escopo SOX por serem difíceis de auditar. Se o sistema gera ou processa dados que alimentam o relatório financeiro, ele está no escopo — independente da idade ou tecnologia.

Cloud (AWS, Azure, GCP)

Em cloud, o modelo de responsabilidade compartilhada divide os controles entre a empresa e o provedor. A auditoria SOX vai verificar o que é responsabilidade da empresa.

O que a empresa deve demonstrar em cloud

IAM e controle de acesso

→ Roles mínimas por equipe/função
→ MFA obrigatório para console
→ Revisão periódica de permissões

Logs e auditoria

→ CloudTrail/Activity Log habilitado
→ Retenção configurada (5+ anos)
→ Logs não deletáveis pelo dev

Mudanças

→ IaC (Terraform, CloudFormation)
→ Pipeline com aprovação antes de produção
→ Config Manager ou similar

SOC 2 do provedor

→ Baixar relatório SOC 2 anual do provedor
→ Apresentar ao auditor como complementary user entity controls

SaaS (Salesforce, Workday, NetSuite)

Para SaaS financeiro no escopo SOX, a empresa precisa demonstrar controles sobre o que ela controla — e apresentar evidências do que o fornecedor controla.

→ Gestão de acesso: provisioning/deprovisioning documentado, perfis revisados
→ SOC 1 Type II do fornecedor (não SOC 2 — SOC 1 é para controles financeiros)
→ Contrato com cláusula de acesso a logs e relatórios de auditoria
→ Plano de contingência se o SaaS ficar indisponível durante fechamento

Seus sistemas estão no escopo correto?

Checklist ITGC gratuito com 15 controles SOX — score por domínio em minutos.

Fazer checklist → Diagnóstico com especialista →

SOX em ERP, legado, cloud e SaaS: obrigações práticas por tipo de sistema

ERP (Oracle, SAP, TOTVS)

Sistemas legados (mainframe, sistemas próprios, COBOL)

Cloud (AWS, Azure, GCP)

SaaS (Salesforce, Workday, NetSuite)

Seus sistemas estão no escopo correto?