Sobrevivendo a uma auditoria de ativos de TI: um checklist prático

As mesmas cinco lacunas aparecem em quase todas as auditorias de ativos de TI — para SOX, ISO 27001, SOC 2 ou true-ups de fornecedores. Este é o checklist funcional para fechá-las antes do auditor chegar.

Auditorias são estressantes por dois motivos. O primeiro: ninguém gosta de ter alguém lendo seus registros. O segundo: a maioria das equipes não sabe que registros deveria ter até o auditor pedi-los. A boa notícia é que a lista de solicitações do auditor é consistente entre frameworks, mesmo quando o próprio framework difere.

Abaixo: o que toda auditoria de ativos de TI analisa, os documentos que você deve ter em arquivo, as cinco lacunas que pegam a maioria das empresas e um plano de preparação de 30 dias pré-auditoria.

Os quatro tipos de auditoria que você vai encontrar

Framework diferente, mesmas perguntas: você sabe o que tem, quem tem e consegue provar?

A lista padrão de solicitações do auditor

1. Inventário de ativos — cada notebook, servidor, dispositivo móvel, dispositivo de rede, com responsável e localização.
2. Inventário de software — cada SaaS pago ou software licenciado, contagem de assentos, usuários atuais.
3. Matriz de acesso — qual usuário tem acesso a qual sistema, com função, concedido por, concedido em.
4. Registros de entrada/movimentação/saída — para o período de auditoria, a amostra completa de eventos de Onboarding e Offboarding com evidências.
5. Log de mudanças — cada mudança em ativos, acesso ou configurações, com carimbo de data/hora e atribuição.
6. Repositório de contratos — todo contrato de fornecedor ativo com um responsável defensável.
7. Registros de descarte de hardware — prova de que dispositivos aposentados foram limpos e descartados corretamente.
8. Evidência de backup e recuperação — para sistemas que contêm dados regulamentados.

As 5 lacunas que auditores encontram com mais frequência

1. Contas fantasma de ex-funcionários

Um funcionário saiu em outubro, mas o assento no Slack, GitHub ou Salesforce ainda está ativo em fevereiro. Esta é a constatação mais comum de SOC 2. Correção: desprovisionamento orientado por provedor de identidade que toca todos os SaaS conectados automaticamente, mais uma varredura trimestral de "sem acesso > 60 dias".

2. Hardware não rastreado

Notebooks entregues sem etiqueta de ativo. Celulares reembolsados via relatórios de despesas que nunca entram no registro. Correção: cada compra de hardware entra no inventário no recebimento, não na implantação, com etiqueta, responsável e registro de garantia.

3. Software em uso que não está licenciado

A constatação clássica de auditoria da Microsoft/Oracle. Uma equipe instalou uma ferramenta, a empresa nunca comprou uma licença, o auditor a encontra na varredura de descoberta. A conta de true-up pode ser enorme. Correção: imponha uma política de instalação de software apenas via compras, execute varreduras trimestrais de descoberta, reconcilie com seu inventário de licenças.

4. Contratos pertencentes a "ti@empresa.com"

Se cada contrato pertence a uma caixa de entrada compartilhada, nenhum humano real é responsável. Auditores notam isso imediatamente. Correção: cada contrato tem um responsável humano nomeado e um backup documentado.

5. Sem trilha de auditoria sobre mudanças

"Quem reatribuiu esta licença?" "Não sei — apenas clicamos em Salvar." Se as suas ferramentas não registram quem fez o quê quando, você falha na auditoria antes de começar. Correção: escolha uma ferramenta ITAM/de acesso com registro de mudanças adequado integrado. O SOC 2 exige explicitamente.

Plano de preparação pré-auditoria de 30 dias

Semana 1 — inventário

• Reconcilie o registro de hardware com a lista de usuários do IdP. Cada funcionário ativo contabilizado; cada notebook atribuído a uma pessoa real.
• Varra contas SaaS. Desabilite ou exclua cada conta pertencente a qualquer pessoa que não esteja na lista de funcionários ativos.
• Extraia dados de último acesso para cada SaaS pago. Sinalize qualquer assento inativo por 90+ dias.

Semana 2 — acesso

• Gere a matriz de acesso: usuário × sistema × função. Exporte de cada sistema, consolide em um lugar.
• Verifique a segregação de funções para sistemas relevantes para finanças (ninguém aprova suas próprias despesas; ninguém é ao mesmo tempo admin e revisor).
• Verificação de imposição de MFA. Cada conta privilegiada tem MFA. Sem exceções.

Semana 3 — contratos & licenças

• Cada contrato ativo carregado no repositório central, com data de renovação, prazo de aviso, responsável e valor.
• Reconciliação de consumo de licença vs. direito para os 10 principais fornecedores por gasto.
• Política de compras revisada e aprovada — software não pode ser instalado sem uma licença rastreada.

Semana 4 — pacote de evidências

• Amostra de evidências de entrada/saída para o período de auditoria.
• Certificados de descarte de hardware para qualquer dispositivo aposentado durante o período.
• Exportação de log de mudanças para ativos, acesso e configurações.
• Arquivo de due diligence de fornecedor para qualquer subprocessador que trata dados regulamentados.

Como uma plataforma ITAM ajuda

A maioria do trabalho acima vive em planilhas e diretórios compartilhados por padrão, e é exatamente onde a preparação para auditoria desmorona. Uma plataforma moderna de gestão de ativos de TI como o InventorIA integra:

• Fluxos de entrada/saída orientados por identidade que produzem evidências automaticamente.
• Utilização de licenças vs. direito em cada SaaS pago.
• Repositório de contratos com termos de renovação analisados.
• Log de mudanças em cada ativo, licença, contrato.
• Exportação de um clique para o auditor (CSVs, pacote de evidências, com carimbo de data/hora).

Empresas que executam isso continuamente — em vez de correr pré-auditoria — normalmente encurtam os ciclos de auditoria em um terço e encerram completamente a tradição da semana de pânico.