O Desafio

Em 2024, a Ipiranga recebeu do auditor externo a identificação de uma fraqueza material em seu ambiente de controles internos de TI, indicando que os processos, controles e sistemas então existentes não ofereciam segurança adequada às informações publicadas nas demonstrações financeiras. A baixa maturidade do ambiente representava um risco significativo à conformidade regulatória, especialmente frente à Lei Sarbanes-Oxley (SOx).

‍

Objetivo do Projeto

‍

O projeto Gap Zero teve como propósito elevar a maturidade do sistema de controle interno da Ipiranga, com foco na governança de TI e nos Controles Gerais de Tecnologia da Informação (ITGCs), buscando:

• Redução dos gaps apontados em auditorias externas;
• Aderência às melhores práticas de mercado;
• Fortalecimento da estrutura de governança e mitigação de riscos operacionais e regulatórios;
• Criação de um ambiente de controles sustentáveis e auditáveis.

Abordagem e Linhas de Serviço

‍

A Vennx atuou de forma integrada em seis linhas de serviço, visando o fortalecimento contínuo da governança e a consolidação do ambiente de TI:

1. Mapeamento de Processos e Controles de TI
Criação de fluxogramas detalhados e documentação de controles existentes, que foram incorporados à Matriz de Riscos e Controles (MRC), garantindo clareza, padronização e preservação do conhecimento.
2. Assessment do COBIT 2019
Diagnóstico do ambiente atual comparado aos objetivos do framework, com elaboração de roadmap de melhorias e atribuição clara de responsabilidades, alinhando a TI às melhores práticas de governança.
3. Execução dos Controles Gerais de TI (ITGCs)
Realização de testes de desenho (TODs) trimestrais, monitoramento mensal de controles críticos e execução pontual de controles essenciais.
4. Suporte nas Interações com Auditoria Externa
Acompanhamento técnico de reuniões e testes de indagação, análise de solicitações do auditor e apoio na formulação de respostas eficazes e alinhadas ao escopo da auditoria.
5. Curadoria de Evidências
Revisão técnica e tempestiva de documentos exigidos em auditoria, com foco na consistência das evidências e na adequação formal aos requisitos do processo.
6. Estruturação da Governança de TI
Desenvolvimento de organograma com papeis e responsabilidades claros para os agentes de ITGC e criação da Política de Aderência à SOx, promovendo a execução consistente dos controles e o cumprimento de prazos críticos.

Resultados alcançados

‍

• Elevação da maturidade dos controles internos de TI, com ganho de robustez e rastreabilidade;
• Redução dos gaps e apontamentos formais identificados pela auditoria externa;
• Melhoria na curadoria e tempestividade das evidências de auditoria;
• Consolidação de um modelo de governança de TI sustentável, alinhado a frameworks como COBIT e COSO, com foco na conformidade SOx;
• Fortalecimento da cultura de riscos, controles e responsabilidade organizacional.

O projeto Gap Zero foi decisivo para a reversão do status de fraqueza material no ambiente de controles de TI da Ipiranga, promovendo ganhos expressivos em segurança, governança e conformidade. Ao entregar um modelo maduro e auditável, a Vennx contribuiu para a criação de um ambiente mais confiável para os stakeholders e aderente às exigências de mercado e regulação.
‍

‍