Equipe de auditoria e compliance analisando controles de acesso e evidências de ITGC

ITGC e IGA: como a governança de acessos sustenta controles gerais de TI

ITGC, ou Controles Gerais de Tecnologia da Informação, é o conjunto de controles que ajuda uma empresa a provar que seus sistemas são seguros, confiáveis e auditáveis. Em projetos de auditoria, uma parte crítica do ITGC está ligada a acessos: quem pode entrar nos sistemas, quem aprovou esse acesso, quando ele foi revisado, se existe conflito de função e se a permissão foi removida quando deixou de ser necessária.

Por isso, ITGC e IGA caminham juntos. ITGC define o que precisa ser controlado e evidenciado. IGA, ou Governança e Administração de Identidades, estrutura os processos para controlar identidades, aprovar acessos, revisar permissões, tratar exceções, aplicar segregação de funções e gerar evidências para auditoria.

Na prática, a pergunta central não é apenas se a empresa tem login seguro. A pergunta é mais ampla: a empresa consegue demonstrar, com evidências, que cada acesso crítico foi concedido corretamente, permanece necessário e pode ser removido quando o vínculo, a função ou o risco mudam?

O que é ITGC?

ITGC significa Information Technology General Controls. Em português, o termo costuma ser traduzido como Controles Gerais de Tecnologia da Informação. Esses controles avaliam se a operação de TI possui governança suficiente para sustentar a confiabilidade dos sistemas usados pela empresa.

Em auditorias financeiras, reguladas ou internas, ITGC aparece porque sistemas corporativos processam informações sensíveis: dados financeiros, dados pessoais, pedidos, pagamentos, compras, contratos, folha, estoque, prontuários, acessos administrativos e operações críticas. Se os sistemas não forem bem controlados, os dados e processos que dependem deles também ficam em risco.

Os controles gerais de TI normalmente cobrem quatro frentes:

  • Controle de acessos: quem tem acesso a sistemas, dados, perfis privilegiados e funções críticas.
  • Gestão de mudanças: como alterações em sistemas são solicitadas, aprovadas, testadas e registradas.
  • Operação de TI: rotinas de backup, monitoramento, processamento, logs e continuidade.
  • Segurança e administração: políticas, responsabilidades, trilhas de auditoria e resposta a incidentes.

Para a AccessOne, a oportunidade está principalmente no primeiro bloco: controle de acessos. É justamente aqui que IGA gera valor direto.

Qual a relação entre ITGC e IGA?

IGA é a disciplina que governa o ciclo de vida das identidades e acessos. Ela conecta pessoas, contas, perfis, sistemas, aprovações, revisões, regras e evidências em um processo controlado. Quando a auditoria pede provas de controle de acesso, IGA ajuda a transformar respostas manuais em trilhas rastreáveis.

Sem IGA, muitas empresas respondem auditorias com planilhas, chamados, prints de tela, e-mails e consultas manuais em cada sistema. Esse modelo consome tempo, cria divergências e dificulta provar que o controle funciona de forma recorrente.

Com IGA, a empresa passa a controlar o acesso como processo: uma identidade entra, recebe acessos conforme regra ou aprovação, muda de função, passa por revisões periódicas, tem conflitos analisados e perde permissões quando deixa de precisar delas.

Necessidade de ITGC Como IGA apoia Evidência esperada
Provar quem tem acesso a sistemas críticos Centraliza identidades, contas, perfis e vínculos com usuários. Relatório de usuários, perfis, sistemas, donos e datas relevantes.
Demonstrar aprovação de acessos Usa workflows com aprovadores, justificativas e regras por tipo de acesso. Histórico de solicitação, aprovação, responsável, data e justificativa.
Revisar acessos periodicamente Executa campanhas de revisão por gestor, dono do sistema ou responsável pelo recurso. Campanha com escopo, decisões, pendências, revogações e conclusão.
Evitar conflitos de função Aplica regras de segregação de funções para detectar combinações de risco. Registro de conflito, regra violada, aprovação de exceção ou correção.
Remover acessos após desligamento ou mudança Conecta eventos de ciclo de vida a fluxos de bloqueio, remoção ou ajuste. Data do evento, ação executada, sistema afetado e status da remoção.

Por que controles de acesso são tão importantes em ITGC?

Controles de acesso são importantes porque sistemas corporativos concentram decisões, dados e operações de negócio. Um acesso indevido pode permitir consulta de informação sensível, alteração de cadastro, aprovação de pagamento, criação de fornecedor, mudança em parâmetros, extração de dados ou uso de perfil administrativo.

Em auditoria, o risco não está apenas em um invasor externo. Muitas falhas surgem por excesso de permissão, acumulação de acessos antigos, usuários desligados ainda ativos, terceiros sem dono, perfis compartilhados, contas administrativas sem rastreabilidade ou combinações de acesso que permitem executar etapas conflitantes de um processo.

Por isso, controles de acesso em ITGC precisam responder perguntas objetivas:

  • Quem tem acesso aos sistemas relevantes para a auditoria?
  • Qual perfil ou permissão cada identidade possui?
  • Quem aprovou o acesso e com qual justificativa?
  • O acesso ainda é necessário para a função atual?
  • Quando o acesso foi revisado pela última vez?
  • Existem conflitos de segregação de funções?
  • Usuários desligados, terceiros ou contas órfãs ainda aparecem ativos?
  • As evidências estão completas e podem ser exportadas?

Exemplos de controles ITGC ligados a IGA

Nem todo controle de ITGC depende de uma plataforma de IGA, mas muitos controles de acesso ficam mais consistentes quando são governados em um processo único. Abaixo estão exemplos comuns.

1. Aprovação formal de acesso

A empresa precisa demonstrar que acessos a sistemas críticos não são concedidos informalmente. Um fluxo de aprovação define quem pode pedir, quem deve aprovar, quais informações justificam a concessão e qual trilha será mantida para auditoria.

2. Revisão periódica de acessos

Auditorias frequentemente exigem que gestores ou donos de sistemas revisem permissões ativas. A revisão verifica se o acesso continua adequado, se deve ser removido, se precisa de ajuste ou se exige justificativa adicional.

3. Desprovisionamento em desligamentos

Quando uma pessoa sai da empresa ou encerra um contrato, acessos precisam ser bloqueados ou removidos em tempo adequado. Integrar eventos de RH ao processo de identidade reduz dependência manual e melhora a evidência de remoção.

4. Segregação de funções

Segregação de funções, ou SoD, evita que uma mesma pessoa concentre permissões conflitantes. Um exemplo clássico é permitir que o mesmo usuário cadastre fornecedor e aprove pagamento sem revisão independente. IGA ajuda a mapear regras, detectar conflitos e registrar decisões sobre exceções.

5. Controle de acessos privilegiados

Perfis administrativos, contas de suporte e acessos sensíveis exigem visibilidade maior. Mesmo quando a empresa usa ferramentas específicas de PAM, IGA pode apoiar a governança: quem possui esse acesso, por qual motivo, quem revisa e qual evidência existe.

O que a auditoria costuma pedir?

O pedido exato varia conforme o escopo, a empresa e o tipo de auditoria. Ainda assim, os pedidos ligados a acesso costumam cair em algumas categorias recorrentes.

Pedido comum da auditoria Risco avaliado Como preparar a evidência
Lista de usuários com acesso a um sistema crítico Usuários indevidos, terceiros ativos ou permissões excessivas. Exportar lista com identidade, perfil, área, gestor, status e data de concessão.
Aprovações de acessos concedidos no período Acessos dados sem dono, sem justificativa ou fora da política. Apresentar solicitação, aprovador, justificativa, data e resultado do provisionamento.
Comprovação de remoção em desligamentos Ex-colaboradores ou terceiros mantendo acesso a sistemas. Relacionar evento de desligamento, sistemas impactados, data de bloqueio e status.
Resultado da revisão de acessos Permissões antigas mantidas sem necessidade atual. Mostrar campanha, revisores, decisões, revogações e pendências tratadas.
Conflitos de segregação de funções Combinações de acesso que permitem fraude, erro ou abuso. Apresentar regra, usuários afetados, tratamento, exceção aprovada ou correção.

Por que planilhas dificultam ITGC?

Planilhas são comuns no início porque parecem simples. O problema aparece quando a empresa precisa repetir o controle, provar histórico e manter consistência entre sistemas. Cada nova auditoria gera uma corrida por dados: exportar usuários, pedir validação por e-mail, consolidar respostas, corrigir divergências e guardar evidências em pastas separadas.

Esse modelo tem algumas limitações claras:

  • não garante que a lista de acessos esteja atualizada no momento da revisão;
  • dificulta provar quem decidiu, quando decidiu e com qual justificativa;
  • não executa automaticamente remoções após uma decisão de revogação;
  • torna trabalhoso identificar reincidência de acessos indevidos;
  • aumenta o risco de versões divergentes da mesma evidência;
  • não escala bem quando há muitos sistemas, revisores e perfis.

Uma plataforma de IGA não elimina a necessidade de política, dono de processo e critério de risco. Mas ela reduz a dependência operacional de controles manuais e cria uma base mais consistente para auditoria.

Como estruturar ITGC de acessos com IGA

Um bom caminho é começar por sistemas de maior risco, não por todos os sistemas ao mesmo tempo. ERPs, sistemas financeiros, folha, compras, diretórios corporativos, plataformas com dados pessoais e aplicações usadas em processos auditados costumam ser bons candidatos.

Um roteiro prático:

  • Mapeie sistemas críticos: identifique quais sistemas entram no escopo de auditoria, compliance ou risco operacional.
  • Defina donos de sistema: cada aplicação crítica precisa ter responsáveis por validar acessos e perfis.
  • Classifique perfis e permissões: separe acessos comuns, sensíveis, privilegiados, temporários e conflitantes.
  • Padronize solicitações e aprovações: defina quem pode solicitar, quem aprova e quando uma justificativa é obrigatória.
  • Integre eventos de ciclo de vida: admissão, mudança de área, afastamento, desligamento e fim de contrato devem acionar revisões ou remoções.
  • Crie campanhas de revisão: estabeleça periodicidade, escopo, revisores, prazos e critérios de decisão.
  • Implemente regras de SoD: identifique combinações de acesso que criam conflito e defina tratamento para exceções.
  • Organize evidências: mantenha trilha de solicitações, aprovações, revisões, revogações e exceções.

Indicadores para acompanhar

ITGC melhora quando a empresa mede se os controles funcionam. Para acessos, alguns indicadores ajudam a separar maturidade real de simples execução formal.

  • percentual de acessos revisados dentro do prazo;
  • quantidade de acessos removidos após revisão;
  • tempo médio entre desligamento e remoção de acesso;
  • quantidade de acessos sem dono ou sem justificativa;
  • número de conflitos de segregação de funções identificados;
  • percentual de exceções aprovadas com validade definida;
  • tempo para gerar evidências solicitadas por auditoria;
  • quantidade de sistemas críticos integrados ao processo de IGA.

Esses indicadores também ajudam a priorizar melhorias. Se muitos acessos são removidos em revisões, a empresa provavelmente tem acumulação de permissões. Se desligamentos demoram para refletir nos sistemas, o problema está no ciclo de vida. Se exceções nunca expiram, o risco está na governança de aprovação.

Onde a AccessOne ajuda?

A AccessOne é uma plataforma de IGA para governar identidades e acessos em ambientes corporativos. No contexto de ITGC, ela ajuda a estruturar processos que costumam ser cobrados por auditorias: solicitação e aprovação de acessos, revisão por gestores e responsáveis por recursos, trilha de auditoria, segregação de funções e integrações com sistemas corporativos.

O valor está em transformar controles de acesso em rotina auditável. Em vez de depender de evidências montadas manualmente a cada ciclo, a empresa passa a manter histórico sobre quem pediu, quem aprovou, qual acesso foi concedido, quando foi revisado, qual permissão foi removida e quais exceções foram registradas.

Para aprofundar a base conceitual, leia também o artigo sobre Governança de Identidades e Acessos. Para um controle específico de auditoria, veja o guia de revisão de acessos.

Perguntas frequentes sobre ITGC e IGA

O que significa ITGC?

ITGC significa Information Technology General Controls, ou Controles Gerais de Tecnologia da Informação. São controles usados para avaliar se sistemas, acessos, mudanças e operações de TI são governados de forma segura e auditável.

Qual a relação entre ITGC e IGA?

ITGC define controles que precisam ser cumpridos e evidenciados. IGA ajuda a operacionalizar os controles ligados a identidade e acesso, como aprovação, revisão, remoção, segregação de funções e trilha de auditoria.

ITGC é obrigatório?

A exigência depende do contexto da empresa, do tipo de auditoria, do setor, de normas aplicáveis e de requisitos internos. Mesmo quando não há obrigação formal específica, controles gerais de TI são uma prática importante para reduzir risco e melhorar governança.

Quais controles de ITGC mais dependem de IGA?

Os controles mais relacionados a IGA são concessão de acessos, aprovação formal, revisão periódica, remoção em desligamentos, controle de acessos privilegiados, segregação de funções e evidências de auditoria.

Qual a diferença entre ITGC e revisão de acessos?

ITGC é um conjunto mais amplo de controles gerais de TI. Revisão de acessos é um controle específico dentro desse universo, usado para confirmar se permissões ativas continuam corretas, necessárias e aprovadas.

Planilhas atendem ITGC?

Planilhas podem apoiar controles em ambientes pequenos, mas tendem a falhar em escala. Elas dificultam rastreabilidade, consolidação de evidências, execução de remoções, controle de prazos e repetição consistente do processo.

Como começar a melhorar ITGC de acessos?

Comece pelos sistemas mais críticos, defina donos de aplicação, mapeie perfis sensíveis, padronize aprovações, execute uma revisão de acessos e registre evidências. Depois, evolua para automação, integrações e regras de segregação de funções.

Conclusão

ITGC não é apenas um tema de auditoria técnica. Ele afeta a capacidade da empresa de provar que seus sistemas e acessos estão sob controle. Quando a organização não sabe demonstrar quem tem acesso, por que tem acesso, quem aprovou e quando revisou, o risco aparece tanto na segurança quanto na auditoria.

IGA torna essa governança mais prática. Ao conectar identidades, aprovações, revisões, remoções, segregação de funções e evidências, a empresa passa a tratar controles de acesso como processo contínuo. Para empresas que precisam amadurecer ITGC, esse é um dos caminhos mais diretos para reduzir risco e ganhar previsibilidade em auditorias.

Agendar Demo

FORTALEZA
Av. Washington Soares, 3663, Torre 1, Salas 1107/1108, Edifício WSTC

SÃO PAULO
Alameda Vicente Pinzon, 54 • Vila Olímpia • 04547-130 • São Paulo • SP

* Quadrante Mágico do Gartner de Identity and Access Governance de 2019. Gartner e Magic Quadrant são marcas comerciais ou marcas registradas de seus respectivos detentores. O uso delas não implica nenhuma afiliação ou endosso por parte deles. O documento é acessível para clientes registrados junto ao Gartner.
©️ AccessOne 2026. Todos os direitos reservados. Política de privacidade