ERP sem controles ITGC formais não é um problema apenas de auditoria — é um risco operacional, financeiro e legal ativo. Estes são os 5 riscos que aparecem com maior frequência em diagnósticos de empresas que nunca foram auditadas.
Por Anderson Chipak · ALC Consultoria · Atualizado abr/2026
Acesso privilegiado sem revisão
Funcionário demitido ainda acessa o sistema
Quando não existe um processo formal de revogação de acessos vinculado ao desligamento de funcionários, contas ativas de ex-colaboradores permanecem no sistema — às vezes por anos. Em empresas com alta rotatividade, o acumulado pode chegar a dezenas de contas ativas de pessoas que já saíram.
Impacto em auditoria
Achado Crítico imediato. Auditores cruzam lista de usuários ativos com base de RH e qualquer divergência é documentada como deficiência material. Risco de retrabalho e ressalva formal no relatório de auditoria.
Impacto operacional real
Ex-funcionário insatisfeito com acesso ativo ao ERP representa risco de fraude, sabotagem ou vazamento de dados. Não é hipotético — é um dos vetores mais comuns de fraude interna em médias empresas.
Correção
Processo documentado de offboarding com checklist de revogação de acessos (ERP, email, VPN, aplicativos críticos) executado no mesmo dia do desligamento. Evidência: formulário assinado pelo RH e pela TI, com print de confirmação de desativação.
Segregação de funções violada
Mesma pessoa cria e aprova pagamentos
Quando a mesma pessoa pode executar duas etapas de um processo que deveriam ser independentes — criar fornecedor e pagar fornecedor, por exemplo — o controle interno é nulo. Um único funcionário com conflito de SoD pode aprovar qualquer transação para qualquer beneficiário sem que ninguém perceba.
Impacto em auditoria
Para SOX, conflito de SoD não corrigido é deficiência material. A empresa precisa demonstrar que o controle existia ou apresentar controles compensatórios documentados — o que exige trabalho retroativo considerável.
Caso real
Funcionário do financeiro com acesso de criar fornecedor + processar pagamento desviou R$ 340k ao longo de 14 meses. Só foi detectado quando ele entrou de férias e outro colaborador não conseguia reproduzir os lançamentos.
Correção
Mapeamento formal da matriz de SoD para os módulos críticos do ERP, com remoção dos perfis conflitantes. Onde a remoção não for viável (empresa pequena com equipe reduzida), documentar controles compensatórios aprovados pela diretoria.
Mudanças sem rastreabilidade
Alteração em produção sem aprovação ou documentação
Quando alterações em produção — parametrização de contas contábeis, tabelas de preço, configurações de aprovação, código de relatórios — são feitas diretamente sem processo formal, não há como provar que o sistema estava configurado corretamente durante o período auditado. Qualquer número produzido pelo ERP se torna questionável.
Impacto em auditoria
Auditores pedem o histórico de mudanças do período. Se não existe registro formal, precisam realizar testes adicionais extensivos para validar a integridade do sistema — aumentando o escopo e custo da auditoria.
Impacto operacional real
Alteração acidental em parametrização contábil sem teste prévio causou erro de lançamento em R$ 2,3M durante fechamento fiscal. Sem rastreabilidade, a equipe levou 3 semanas para identificar a origem do problema.
Correção
Processo de change management com ticket, aprovação documentada, teste em ambiente separado e registro de deployment. Pode ser simples (planilha de change log com assinatura) — o que auditores exigem é evidência de aprovação prévia, não a sofisticação da ferramenta.
Backup não testado
RPO/RTO definidos no papel, nunca validados
Praticamente todas as empresas fazem backup. Muito poucas testam se conseguem restaurar — e ainda menos documentam o resultado desse teste. A consequência é que a empresa acredita ter proteção que, na prática, pode não funcionar. Backups corrompidos são descobertos na pior hora possível.
Impacto em auditoria
Auditores solicitam evidência do último teste de restore bem-sucedido. "Nunca testamos" ou "testamos mas não temos documentação" resulta em achado. O controle precisa existir, ser executado e ter evidência.
Impacto operacional real
Empresa de médio porte perdeu base de dados Oracle ERP após falha de storage. Backups existiam mas eram feitos via job com erro silencioso há 4 meses. Recuperação parcial custou 6 semanas de reconstituição manual.
Correção
Teste de restore documentado ao menos anualmente, com relatório assinado pelo responsável técnico. Frequência maior para sistemas críticos. Política de backup formalizada com frequência, retenção, responsável e procedimento de alerta de falha.
Relatórios fiscais alteráveis
Ausência de controle sobre reports críticos — SPED, NFe
Relatórios fiscais críticos — SPED Contábil, EFD, emissão de NFe — processados por um ERP sem controle sobre quem pode alterar os parâmetros do relatório, a configuração de contas contábeis mapeadas ou os dados de saída, criam um risco fiscal e de compliance inaceitável. Auditores verificam se o caminho do dado (da transação ao relatório entregue ao fisco) é íntegro e protegido.
Impacto em auditoria
Para SOX e para auditorias de adequação fiscal, a integridade do caminho dado-para-relatório é fundamental. Qualquer break nessa trilha sem controle compensatório é achado que compromete a confiabilidade das demonstrações financeiras.
Impacto regulatório real
Configuração incorreta de mapeamento de contas no SPED pode gerar inconsistências entre o declarado e os lançamentos contábeis — abrindo risco de auto de infração da Receita Federal, com multa de 75% a 150% sobre o tributo diferenciado.
Correção
Controle de acesso às configurações de relatórios fiscais (quem pode alterar parametrização de SPED, tabelas de mapeamento fiscal). Log de alterações ativado. Revisão periódica da configuração com evidência. Reconciliação entre lançamentos contábeis e relatórios entregues ao fisco.
O checklist ITGC avalia 15 pontos nos 4 domínios e mostra o score por área — em 5 minutos.
Fazer o checklist ITGC →Os 5 riscos
1. Acesso privilegiado sem revisão
2. Segregação de funções violada
3. Mudanças sem rastreabilidade
4. Backup não testado
5. Relatórios fiscais alteráveis
Auditoria ALC
Anderson Chipak identifica e corrige esses riscos antes da auditoria externa. Success fee sobre valor mensurável.
Diagnóstico gratuito 60 min →Por Anderson Chipak — auditor de sistemas críticos · ALC
