Protiviti - Auditoria ITGC e Infraestrutura
Logo Protiviti Logo Protiviti
Fale conosco

Auditoria ITGC e Infraestrutura

Os controles gerais de TI são a base de confiabilidade de todos os seus sistemas.

Os Controles Gerais de Tecnologia da Informação, conhecidos como ITGC (IT General Controls), são os alicerces sobre os quais repousa a confiabilidade de qualquer sistema crítico de negócio. Gestão de acessos mal estruturada, mudanças em sistemas sem controle adequado, ambientes de produção vulneráveis e infraestrutura sem monitoramento contínuo criam riscos que comprometem tanto a segurança operacional quanto à conformidade com reguladores e auditores externos. 

A Protiviti avalia e fortalece os controles gerais e de infraestrutura de TI com uma abordagem orientada ao risco do negócio, combinando metodologias baseadas em frameworks internacionais com o uso de data analytics para ampliar a cobertura e a profundidade das avaliações, gerando evidências robustas e recomendações acionáveis. 

 

ENTRE EM CONTATO

Expertise em processos, tecnologia e governança com visão de auditoria independente

Esse serviço é especialmente indicado para empresas que:

  • precisam demonstrar controles sólidos de TI para auditores externos, reguladores, investidores ou conselhos; 
  • operam em setores regulados —financeiro, saúde, varejo, energia, infraestrutura crítica — com exigências específicas de segurança e conformidade tecnológica; 
  • passaram por transformações relevantes: migração para nuvem, implementação de novo ERP, fusão ou aquisição, expansão internacional; 
  • identificaram internamente lacunas de controle, incidentes de segurança ou falhas em auditorias anteriores; 
  • desejam evoluir de um modelo reativo de auditoria para avaliações contínuas, orientadas a risco; 
  • precisam avaliar e controlar riscos introduzidos pelo uso de Inteligência Artificial, automação e fornecedores críticos de tecnologia. 

Nossas soluções

Avaliação de ITGC

Avaliação dos Controles Gerais de Tecnologia da Informação (ITGC) e da infraestrutura tecnológica que sustenta os sistemas e processos críticos do negócio. Cobre gestão de acessos lógicos, gerenciamento de mudanças, operações de TI, continuidade e ambientes de nuvem.

Auditoria de Controles Gerais de TI (ITGC)

Avaliação dos controles fundamentais que sustentam a confiabilidade dos sistemas e processos de TI, cobrindo gestão de acessos lógicos, gerenciamento de mudanças, operações e continuidade. Serviço essencial para organizações sujeitas à auditoria externa (SOX, PCAOB) e para estruturação de programas internos de controle.

Análise de Maturidade e GAP em Governança de TI

Diagnóstico do nível de maturidade da governança e gestão de TI da organização frente a frameworks de referência (ITIL, COBIT, NIST CSF, CIS Controls, ISO 27001), com identificação de lacunas prioritárias e roadmap de evolução.

Auditoria de Ambientes de Nuvem e de Terceiros

Avaliação de controles em ambientes cloud (AWS, Azure, GCP), modelos de responsabilidade compartilhada e fornecedores críticos de TI, incluindo programas de SSPA (Supplier Security and Privacy Assurance) para conformidade em cadeias de valores digitais.

Auditoria de TI com uso de Data Analytics

Aplicação de análise massiva de dados e auditoria contínua para ampliar a cobertura de testes, identificar anomalias, monitorar transações críticas e gerar relatórios automatizados com indicadores de risco em tempo real.

Auditoria de Riscos de IA e Automação

Identificação e avaliação de riscos introduzidos pelo uso de Inteligência Artificial generativa, RPA, agentes autônomos e automação de processos, incluindo aspectos de governança, viés algorítmico, auditabilidade e conformidade regulatória emergente.

Co-sourcing e outsourcing de auditoria de TI

Atuação complementar ou integral à função de Auditoria Interna de TI, com profissionais especializados que se integram à equipe do cliente para execução de auditorias, revisões pontuais ou operação contínua do programa.

Por que agora?

Alguns fatores tornam a Auditoria de TI uma prioridade estratégica neste momento:

  • IA e automação sem governança geram riscos novos: organizações estão adotando IA generativa e automação inteligente em escala, mas poucas possuem controles auditáveis sobre o uso, os outputs e os riscos dessas tecnologias. Reguladores já começam a exigir evidências de governança de IA. 
  • Automação e IA criam novos objetos de controle: RPA, agentes de IA e automações de processos precisam ser incluídos no escopo dos ITGCs, e a maioria das organizações ainda não tem controles estruturados sobre esses ativos. 
  • Implementações de ERP deixam rastros de acesso: projetos de SAP, Oracle ou outros ERPs frequentemente resultam em perfis de acesso amplos e segregações de funções (SoD) violadas, que persistem em produção anos após o go-live. 
  • Ambientes de nuvem e terceiros ampliam a superfície de ataque: a migração para cloud e a dependência de fornecedores críticos de tecnologia criam pontos de falha que os modelos tradicionais de ITGC não cobrem adequadamente. 
  • LGPD e regulações setoriais aumentam a responsabilização: a maturidade fiscalizatória da ANPD e as exigências de setores regulados (financeiro, saúde, energia) elevam o custo de não conformidade, financeiro e reputacional. 
  • Auditorias episódicas já não são suficientes: ciclos anuais deixam janelas de exposição grandes demais. O mercado migra para modelos de auditoria contínua, com monitoramento em tempo real e alertas baseados em analytics. 
  • Conselhos e comitês de auditoria exigem mais visibilidade sobre TI: a governança de tecnologia subiu de nível nas agendas dos boards. Demonstrar controle, rastreabilidade e resiliência tecnológica tornou-se um requisito de confiança para investidores e parceiros. 

ITGC e conformidade regulatória

SOX – Sarbanes-Oxley Act

Empresas com obrigações de reporte à SEC — incluindo subsidiárias brasileiras de grupos norte-americanos — precisam avaliar e atestar a efetividade dos controles internos sobre o reporte financeiro. Os ITGCs são componente essencial dessa avaliação, pois sustentam a confiabilidade dos sistemas financeiros. Falhas em ITGC podem resultar em deficiências materiais reportadas publicamente.

LGPD – Lei nº 13.709/2018 e GDPR (UE)

A proteção de dados pessoais exige controles efetivos de acesso a sistemas e bases de dados que armazenam ou processam dados de titulares. Gestão de acessos lógicos, logs de auditoria e gestão de mudanças em sistemas que tratam dados pessoais são ITGCs diretamente relacionados ao atendimento dessas leis.

ISO 27001 / ISO 27002

A norma ISO 27001 exige a implementação de controles cobrindo, entre outros, gestão de acessos, criptografia, segurança física e de ambiente, segurança em operações e gestão de mudanças — todos domínios avaliados em uma auditoria de ITGC.

NIST Cybersecurity Framework (CSF) e CIS Controls

Amplamente adotados como referência para estruturação de programas de segurança, esses frameworks orientam a avaliação de controles de infraestrutura em cinco funções (Identificar, Proteger, Detectar, Responder, Recuperar) e em prioridades de implementação baseadas em risco real.

Comece agora sua jornada de auditoria de controles

Avalie se seus controles gerais de TI (ITGC) são suficientes para suportar uma auditoria externa, atender reguladores e proteger a confiabilidade dos seus sistemas críticos.

Fale com nosso time

Como funciona nossa abordagem

1. Planejamento orientado a risco

Mapeamos o ambiente tecnológico, identificamos ativos e processos críticos, compreendemos o contexto regulatório e definimos o escopo e a profundidade da auditoria com base nos riscos mais relevantes para o negócio.

2. Avaliação e testes

Executamos a avaliação com aplicação de frameworks reconhecidos (COBIT, NIST, ISO, COSO) combinada com uso de data analytics para ampliar cobertura, reduzir amostragem e identificar anomalias que auditorias manuais não capturam. Avaliamos design e efetividade operacional dos controles. 

3. Análise e priorização 

Classificamos os achados por criticidade e impacto no negócio — não apenas por conformidade técnica. Cada observação é contextualizada com a exposição real que representa e com recomendações práticas de remediação, considerando a capacidade operacional da organização. 

4. Reporte e comunicação 

Entregamos relatórios claros, objetivos e acionáveis, calibrados para diferentes audiências: relatório executivo para a alta liderança e conselho, e relatório técnico detalhado para as equipes de TI e auditoria interna. Apresentamos os resultados de forma que decisores entendam o risco sem precisar de formação técnica. 

 

5. Acompanhamento e melhoria contínua

Apoiamos o monitoramento da remediação dos achados, a evolução do plano de ação e — quando desejado pelo cliente — a transição para um modelo de auditoria contínua, com uso de analytics e monitoramento em tempo real dos controles críticos. 

Perguntas frequentes

  • ITGCs são os controles que garantem que os sistemas de TI de uma organização funcionem de forma confiável e controlada. Eles importam para o negócio porque a confiabilidade dos dados financeiros, operacionais e de conformidade depende diretamente desses controles. 

  • Os quatro domínios tradicionais de ITGC são: gestão de acessos lógicos, gerenciamento de mudanças em sistemas, operações de TI (incluindo backups, jobs e monitoramento) e continuidade de negócios e recuperação de desastres. Em ambientes modernos, adicionamos a esses domínios os controles em nuvem, automação de processos e gestão de terceiros tecnológicos. 

  • Avaliamos os controles considerando o modelo de responsabilidade compartilhada do provedor de nuvem (AWS, Azure, GCP) — identificando o que é responsabilidade do cliente versus do provedor — e verificamos se a organização implementou os controles adequados na sua camada: gestão de identidades e acessos (IAM), configurações de segurança (cloud security posture), monitoramento, criptografia e controles de mudança em ambientes cloud. 

  • Sim. Nossa equipe possui expertise em avaliação de controles de acesso, segregação de funções (SoD) e configurações de segurança nos principais ERPs do mercado, incluindo SAP S/4HANA, Oracle ERP e outros sistemas financeiros críticos. Também apoiamos a avaliação de controles em contextos de go-live e pós-implementação. 

  • O cronograma é definido no planejamento com base no escopo e na disponibilidade das equipes do cliente. 

  • Os auditores externos avaliam os ITGCs como parte de suas auditorias financeiras para determinar em que extensão podem confiar nos dados produzidos pelos sistemas. Uma avaliação prévia pela Protiviti permite que a organização identifique e remedie fragilidades antes de ser submetida ao escrutínio externo — reduzindo o risco de ressalvas e acelerando o processo de auditoria. 

  • Os ITGCs (Controles Gerais de Tecnologia da Informação) são os controles fundamentais que sustentam a confiabilidade de todos os sistemas — cobrindo gestão de acessos, gerenciamento de mudanças, operações e continuidade. Já a Avaliação de Controles Específicos é mais aprofundada em domínios particulares, como segurança de aplicações, ambientes de nuvem, proteção de dados ou controles de um sistema crítico específico (ERP, por exemplo). Ambos podem ser executados de forma integrada ou independente. 

Fale com o nosso time

Conte com a experiência da Protiviti para estruturar uma Auditoria de TI e Cyber Security robusta, orientada ao risco do negócio e alinhada às melhores práticas internacionais.

Entre em contato

Gustavo Ferreira

Diretor de Auditoria Interna na Protiviti Brasil, com 18 anos de experiência em projetos de avaliação e consultoria, controles internos (incluindo conformidade com SOX) e gerenciamento de riscos. Bacharel em Administração Pública pela UNESP e especialista em Mineração de Processos pela USP, com sólida atuação na avaliação de desenho e efetividade de controles e otimização de processos, fortalecendo a governança corporativa de empresas nacionais e internacionais, de pequeno, médio e grande porte.  

SOLICITE UMA PROPOSTA COMERCIAL








    Ao informar meus dados, reconheço que li e compreendi os termos expressos na Política de Privacidade e concordo, de maneira livre, informada e inequívoca, em fornecer estes dados.