Implementação de controles gerais de TI (ITGC) para conformidade com a SOX: foco na gestão de acessos

Abstract

A Lei Sarbanes-Oxley (SOX) estabelece diretrizes rigorosas para a governança corporativa, o fortalecimento dos controles internos e a integridade dos relatórios financeiros de empresas de capital aberto, exigindo das organizações um elevado nível de conformidade e gestão eficiente de riscos. Este trabalho tem como objetivo demonstrar como a implementação eficaz dos Controles Gerais de Tecnologia da Informação (ITGCs), com foco na gestão de acessos, pode contribuir diretamente para o atendimento aos requisitos da SOX. A pesquisa foi conduzida por meio de uma abordagem qualitativa, que combinou revisão bibliográfica, análise documental e estudo de caso aplicado em uma empresa do setor bancário, com atuação nos mercados americano e brasileiro. A análise prática do processo de concessão e revisão de acessos críticos e conflitantes evidenciou a relevância de uma gestão de acessos contínua e alinhada às boas práticas de segurança da informação e governança de TI. Além disso, o estudo também considerou as diretrizes da Comissão de Valores Mobiliários (CVM) no contexto brasileiro, reforçando a importância de controles sólidos para assegurar a conformidade regulatória e mitigar riscos operacionais e de auditoria. Os resultados obtidos confirmam que a governança de acessos representa um pilar fundamental na estrutura de controles internos exigida pela SOX, contribuindo significativamente para a transparência, a segurança e a confiabilidade dos processos corporativos. A pesquisa reforça que a gestão de acessos, quando aplicada de forma estruturada, contínua e integrada às normas de segurança da informação, não apenas fortalece os controles internos, mas também impulsiona a maturidade dos processos organizacionais, reduzindo falhas que podem comprometer a integridade dos dados financeiros. O estudo demonstrou ainda que a adoção de práticas bem definidas, como a revisão periódica de acessos, a constante atualização da Matriz de Risco e o envolvimento efetivo dos donos do risco, é essencial para mitigar vulnerabilidades e assegurar a conformidade regulatória. Por fim, conclui-se que a governança de acessos transcende a simples obrigação legal, posicionando-se como um diferencial estratégico para as organizações, ao agregar valor à segurança da informação e fortalecer a confiabilidade dos dados em ambientes corporativos complexos.

The Sarbanes-Oxley Act (SOX) establishes strict guidelines for corporate governance, the strengthening of internal controls, and the integrity of financial reports for publicly traded companies, requiring organizations to maintain a high level of compliance and effective risk management. This study aims to demonstrate how the effective implementation of Information Technology General Controls (ITGCs), with a focus on access management, can directly contribute to meeting SOX requirements. The research was conducted using a qualitative approach, combining a literature review, document analysis, and a case study carried out at a banking sector company operating in both the American and Brazilian financial markets. The practical analysis of the process for granting and reviewing critical and conflicting access highlighted the relevance of continuous access management aligned with best practices in information security and IT governance. Additionally, the study considered the guidelines of the Brazilian Securities and Exchange Commission (CVM), reinforcing the importance of robust controls to ensure regulatory compliance and to mitigate operational and audit risks. The results confirmed that access governance is a fundamental pillar within the internal control framework required by SOX, contributing significantly to the transparency, security, and reliability of corporate processes. The research also highlights that access management, when applied in a structured, continuous, and standards-aligned manner, not only strengthens internal controls but also enhances the maturity of organizational processes, reducing failures that could compromise the integrity of financial data. Furthermore, the study demonstrated that the adoption of well-defined practices — such as periodic access reviews, continuous updating of the Risk Matrix, and the active involvement of risk owners — is essential to mitigate vulnerabilities and ensure regulatory compliance. Ultimately, it is concluded that access governance goes beyond a mere legal obligation, positioning itself as a strategic differentiator for organizations by adding value to information security and reinforcing data reliability in complex corporate environments.