ALC.srv.br • Checklist

27 Riscos Recorrentes em Sistemas Críticos Corporativos

Compilado a partir de auditorias reais em empresas de mineração, saúde, educação e indústria.

7

Compliance

7

Segurança

7

Custo

6

Continuidade

Como usar este checklist

Reserve 90 minutos com 2 pessoas: alguém do time técnico sênior + alguém de compliance/financeiro.
Para cada risco, pergunte: sabemos se isso existe no nosso sistema? Se a resposta é "não sei" ou "acho que sim", marque como candidato a investigação.
Use a coluna "Sinal de alerta" como gatilho de verificação rápida — se o sinal aparece, o risco provavelmente está presente.
Some os impactos estimados dos riscos confirmados. Esse é seu custo-de-não-fazer-nada.
Se a soma passar de R$ 500k/ano ou R$ 2 mi em risco evitável, é sinal de que vale contratar auditoria formal — com ou sem a ALC.

As faixas de impacto em R$ são estimativas conservadoras baseadas em empresas de médio porte (faturamento R$ 50-500 mi/ano). Ajuste proporcionalmente ao seu contexto.

Categoria 1 de 4

⚖️ Compliance Regulatório

7 riscos que auditoria externa busca primeiro

01

Ausência de segregação de função em sistemas financeiros

O mesmo usuário consegue executar e aprovar operações críticas (lançamento + aprovação de pagamento, por exemplo). Quebra direta do princípio SOX de segregation of duties.

Sinal de alerta: pergunte ao time financeiro "quantas aprovações manuais mensais envolvem a mesma pessoa?". Se a resposta não é "zero" com evidência, você tem o risco.

Impacto estimado: R$ 500k a R$ 5 mi — multa + remediation + perda de certificação SOX/SEC.

02

Dados pessoais sem base legal LGPD documentada

Coletas de dados de clientes, funcionários ou fornecedores sem finalidade explícita, consentimento registrado ou base legal mapeada. Exposição direta à ANPD.

Sinal de alerta: peça o DPIA (relatório de impacto à proteção de dados) das últimas 3 iniciativas que coletaram dados. Se não existe, o risco está presente.

Impacto estimado: até 2% do faturamento por infração (teto R$ 50 mi) + dano reputacional.

03

Logs de auditoria com retenção insuficiente ou mutáveis

SOX e ISO 27001 exigem logs imutáveis (WORM) por pelo menos 5-7 anos. Se os logs podem ser editados ou são purgados antes, os controles não passam em auditoria.

Sinal de alerta: alguém do time tem permissão de DELETE nas tabelas de log? Qual é a política de retenção oficial vs. a real?

Impacto estimado: R$ 200k a R$ 2 mi — custo de remediação em ferramenta de audit log + remanescente SOX gap.

04

Ausência de controle de mudança formal em produção

Deploys em produção sem aprovação documentada, sem rollback testado, sem comunicação de janela. Viola SOX controle ITGC de change management.

Sinal de alerta: existe ticket formal para cada deploy em produção dos últimos 30 dias? Alguém aprova antes de subir?

Impacto estimado: R$ 150k a R$ 1 mi — ressalva SOX + custo de incidente em produção.

05

Dados financeiros em planilhas Excel paralelas ao ERP

Quando fechamento, conciliação ou indicadores financeiros são calculados em planilhas fora do sistema oficial, auditoria externa reprova o controle automaticamente — não há rastreabilidade da fórmula.

Sinal de alerta: peça para o CFO mostrar como o último fechamento mensal foi calculado. Se abrir Excel, o risco existe.

Impacto estimado: R$ 100k a R$ 800k — reprovação SOX + custo de correção recursiva.

06

Ausência de inventário formal de ativos e fornecedores

ISO 27001 exige inventário de ativos. Muitas empresas não sabem listar o que roda em produção, com qual licença, em qual fornecedor, com qual renovação vencendo.

Sinal de alerta: peça em 48h a lista de todos os sistemas em produção, com versão, fornecedor e data de próxima renovação. Se ninguém consegue entregar, risco presente.

Impacto estimado: R$ 80k a R$ 500k — custo de compliance review + risco de licença expirada.

07

Transferência internacional de dados sem controle

Uso de SaaS (Slack, Google, AWS us-east) processando dados de brasileiros sem cláusulas contratuais-padrão (CCSP) ou instrumentos LGPD adequados para transferência internacional.

Sinal de alerta: liste os SaaS que processam dados de clientes/funcionários. Para cada um, existe aditivo contratual LGPD assinado?

Impacto estimado: R$ 150k a R$ 2 mi — infração ANPD + bloqueio operacional se notificada.

Categoria 2 de 4

🔒 Segurança e Acesso

7 riscos de exposição técnica que viram incidente real

08

Credenciais hard-coded em repositório

Chaves de API, senhas de banco, tokens JWT commitados em Git (incluindo histórico). Se o repositório já foi público ou compartilhado com ex-colaborador, assume-se vazado.

Sinal de alerta: rode `gitleaks` ou busque por "password", "secret", "api_key" no histórico completo (git log -p).

Impacto estimado: R$ 200k a R$ 10 mi — depende do que a credencial acessa (banco de dados, produção, financeiro).

09

Ex-funcionários com acessos ativos

Processo de offboarding não remove acessos em todos os sistemas (VPN, AWS, GitHub, ERP, SaaS). Contas ficam dormentes, viram vetor de ataque ou incidente LGPD.

Sinal de alerta: compare a lista de ex-funcionários dos últimos 12 meses com os logins ativos em cada sistema crítico. Se achar qualquer um, o processo está quebrado.

Impacto estimado: R$ 100k a R$ 5 mi — pelo incidente e pela infração LGPD.

10

Banco de produção sem criptografia at-rest ou in-transit

Banco de dados de produção com dados sensíveis (CPF, dados de saúde, dados financeiros) sem encryption at rest ou conexões sem TLS. Quebra LGPD e ISO 27001.

Sinal de alerta: verifique flag de encryption no RDS/CloudSQL/SQL Server. TLS obrigatório nas conexões?

Impacto estimado: R$ 300k a R$ 10 mi — em caso de incidente de exposição.

11

Endpoints de API sem autenticação ou rate limiting

APIs internas ou "privadas" expostas publicamente (ou em VPC amplamente acessível) sem autenticação, sem throttling, permitindo enumeração ou negação de serviço.

Sinal de alerta: rode nmap/Shodan nos IPs públicos. Peça ao time de segurança o último pentest — se não há, risco presente.

Impacto estimado: R$ 150k a R$ 3 mi — dependendo de dados acessíveis.

12

Logs de aplicação com dados sensíveis em claro

CPF, e-mail, senha, token ou dado de saúde aparecendo em logs (CloudWatch, Stackdriver, arquivo local). Logs geralmente têm retenção e permissões diferentes dos dados — expansão da superfície de exposição.

Sinal de alerta: grep nos logs dos últimos 7 dias por padrões como CPF (###.###.###-##), "password", "authorization". Se acha match, o risco é real.

Impacto estimado: R$ 100k a R$ 2 mi — LGPD + custo de remediação.

13

Backups sem teste de restore ou off-site

Existe política de backup, mas ninguém testou restore nos últimos 12 meses. Ou os backups estão no mesmo data center — ataque de ransomware destrói o original e a cópia.

Sinal de alerta: peça o relatório do último restore bem-sucedido de banco de produção. Se não existe ou é antigo, risco presente.

Impacto estimado: R$ 500k a R$ 20 mi — custo de parada operacional em incidente real.

14

Dependências obsoletas com CVEs conhecidas em produção

Bibliotecas, frameworks ou runtimes com versões vulneráveis há 6+ meses sem atualização. log4shell, struts, OpenSSL, versão antiga de Node/PHP/Java — tudo já exploit conhecido.

Sinal de alerta: rode `npm audit`, `composer audit`, Snyk ou Dependabot. Se há CVE crítico/alto não tratado há mais de 60 dias, risco presente.

Impacto estimado: R$ 200k a R$ 15 mi — dependendo de exploração e dados acessíveis.

Categoria 3 de 4

💰 Custo e Eficiência

7 fontes típicas de desperdício em operação de TI

15

Instâncias cloud superdimensionadas rodando 24/7

EC2/VMs com CPU média <10% e memória <30%. Ambientes de homologação/dev ligados fora do horário comercial. Tier de RDS acima do uso real.

Sinal de alerta: puxe CloudWatch/Stackdriver dos últimos 30 dias — qual o uso médio das 5 instâncias mais caras?

Impacto estimado: 20-40% da fatura de cloud/ano — tipicamente R$ 80k a R$ 2 mi.

16

Storage morto: backups antigos, logs, snapshots esquecidos

S3/buckets/EBS snapshots com dados de 3+ anos sem política de lifecycle. Cresce mensalmente, ninguém apaga, ninguém auditou recentemente.

Sinal de alerta: qual a fatura de storage dos últimos 12 meses? Quanto cresceu? Existe lifecycle policy explícita?

Impacto estimado: R$ 30k a R$ 500k/ano — tipicamente 10-25% do storage total.

17

Licenças SaaS duplicadas ou não utilizadas

Seats de SaaS (Jira, Slack, Salesforce, monitoring) atribuídos a ex-funcionários, ou múltiplas ferramentas fazendo a mesma coisa. Cobrança continua mensal.

Sinal de alerta: compare login ativo dos últimos 60 dias em cada SaaS × seats contratados. Diferença = desperdício direto.

Impacto estimado: R$ 40k a R$ 500k/ano.

18

Queries não otimizadas causando custo e latência

Top 10 queries mais lentas consomem grande parte de CPU do banco. Ausência de índices básicos, SELECT * em tabelas grandes, N+1 em ORM. Resolver reduz infra necessária.

Sinal de alerta: ative slow query log por 48h em produção. Se existe query rodando >5 segundos, há fruta baixa.

Impacto estimado: R$ 50k a R$ 1 mi/ano — redução direta de tier de banco.

19

Processos manuais diários automatizáveis

Tarefas rotineiras (fechamento mensal, conciliação bancária, emissão de relatórios) consumindo horas de pessoas sênior. Típico: 2-4h/dia × 250 dias × custo/hora.

Sinal de alerta: peça ao financeiro/ops mapearem 3 tarefas que repetem toda semana com intervenção humana. É o checklist de automação.

Impacto estimado: R$ 60k a R$ 500k/ano — tipicamente 1 FTE sênior liberado.

20

Retrabalho crônico por falta de testes automatizados

Bugs recorrentes em produção consomem horas de dev sênior em investigação e correção. Ausência de teste automatizado em pontos críticos mantém o ciclo.

Sinal de alerta: puxe os últimos 20 tickets de bug. Quantos são regressão (algo que já funcionou e quebrou)? Se passa de 30%, retrabalho é crônico.

Impacto estimado: R$ 100k a R$ 1,5 mi/ano — horas de dev + custo de incidente.

21

Contratos de fornecedor sem renegociação em 24+ meses

Contratos antigos (infra, licenças, consultorias) nunca renegociados. Mercado baixou preço ou capacidade cresceu, mas você ainda paga o preço original com reajustes.

Sinal de alerta: liste os 5 maiores fornecedores de TI. Quando foi a última renegociação? Se mais de 2 anos, oportunidade.

Impacto estimado: R$ 50k a R$ 800k/ano — 10-25% de redução de custo por renegociação.

Categoria 4 de 4

🔄 Continuidade e Governança

6 riscos que só aparecem quando alguém sai ou algo falha

22

Uma única pessoa entende um subsistema crítico

O clássico bus factor = 1. Se essa pessoa sai, fica doente ou simplesmente tira férias, a empresa perde capacidade de responder a incidente ou evoluir o sistema.

Sinal de alerta: para cada sistema crítico, pergunte quem é a pessoa que sabe tudo. Se a resposta é 1 nome (não 2+), o risco existe.

Impacto estimado: R$ 500k a R$ 10 mi — custo de reconstruir conhecimento + risco de incidente sem resposta.

23

Documentação de arquitetura desatualizada ou inexistente

Diagramas, ADRs (decisões de arquitetura), README de repositórios ausentes ou com 2+ anos de defasagem. Onboarding de novo dev sênior leva 3+ meses, quando poderia levar 3 semanas.

Sinal de alerta: abra o README do repositório principal. Última atualização há quanto tempo? Explica como rodar local? Decisões importantes estão documentadas?

Impacto estimado: R$ 150k a R$ 1 mi/ano — em onboarding lento, retrabalho e refazer análises já feitas.

24

Single point of failure não mitigado em sistema crítico

Um componente (banco master sem replica, servidor único, integração síncrona com terceiro) que se falhar derruba o sistema. Risco modelado? SLA calculado?

Sinal de alerta: faça a pergunta "se X cai agora, o que acontece?" para cada componente. Se há resposta "tudo para", é SPOF.

Impacto estimado: R$ 200k a R$ 20 mi — dependendo da receita por hora do sistema.

25

Fornecedor crítico sem contrato de transferência/código em escrow

Sistema desenvolvido ou hospedado por fornecedor pequeno/médio sem cláusula de transferência de conhecimento, acesso ao código-fonte ou escrow. Fornecedor fecha? Você perde o sistema.

Sinal de alerta: seu contrato tem cláusula de entrega de código-fonte atualizado + documentação em caso de rescisão? Acesso direto a repositório?

Impacto estimado: R$ 500k a R$ 5 mi — custo de reconstrução do sistema.

26

Ausência de plano de disaster recovery testado

Plano de DR existe no papel, mas nunca foi testado em simulado. Em incidente real (ransomware, queda de região cloud, vazamento), não se sabe se o plano funciona.

Sinal de alerta: quando foi a última simulação de desastre? Existe relatório? RTO/RPO medidos vs. prometidos?

Impacto estimado: R$ 1 mi a R$ 50 mi — em incidente real sem plano funcional.

27

Decisões técnicas sem rastro: impossível auditar por que algo foi feito

Time técnico toma decisões importantes (escolha de banco, arquitetura, biblioteca) sem documentar o "por quê". 2 anos depois, ninguém sabe justificar o custo de mantê-las ou trocá-las.

Sinal de alerta: escolha 3 decisões técnicas relevantes dos últimos 12 meses. Existe ADR (Architecture Decision Record) documentando contexto e alternativas? Se não, padrão é faltar.

Impacto estimado: R$ 200k a R$ 2 mi — custo de re-análise + decisões ruins mantidas por inércia.

Feito o checklist. E agora?

Some os impactos estimados dos riscos que você confirmou no seu sistema. Esse é o custo real de não fazer nada.

Se a soma ultrapassa R$ 500k/ano em economia evitável ou R$ 2 mi em risco regulatório, é sinal de que uma auditoria formal paga a si mesma. Não precisa ser conosco — mas precisa ser feita.

Se quiser conversar sobre auditoria com success fee:

Conhecer o serviço ALC de Auditoria →

ou envie um email direto: contato@alc.srv.br

Compartilhe livremente com equipe, conselho e investidores. Atribuição apreciada.