Cases
O Desafio
A CELEPAR, referência em tecnologia da informação no setor público, iniciou o ciclo 2023/2024 com o compromisso de fortalecer sua estrutura de governança, controles internos e conformidade. Para isso, contratou a Vennx com o desafio de executar seu Plano Bianual de Auditoria Interna, abrangendo diversas áreas críticas da organização.
Objetivo do Projeto
A Vennx foi responsável por conduzir 15 auditorias internas, com foco em:
- Mapeamento detalhado dos processos (walkthrough) com entrevistas qualificadas;
- Avaliação de riscos operacionais, regulatórios e estratégicos;
- Análise de controles internos com base nos frameworks COSO, COBIT, ITIL e boas práticas de mercado;
- Elaboração de recomendações orientadas à mitigação de riscos, aumento da eficiência e automação de processos;
- Construção de roadmaps com ações priorizadas, considerando complexidade e impacto;
- Criação de paineis interativos em Power BI para visualização clara e dinâmica dos resultados;
- Apresentação dos achados ao Conselho de Administração com entrega de relatório final executivo e papeis de trabalho completos.
Escopo e Cobertura
As auditorias cobriram áreas estratégicas e operacionais:
- LGPD (Lei Geral de Proteção de Dados)
- Projetos Corporativos, Processos e Estrutura Organizacional
- Provisões
- Ativos Intangíveis e Imobilizados
- Contratos e Convênios
- Consultoria e Assessoramento Jurídico
- Inovação e Pesquisa & Desenvolvimento
- Compliance
- Sistemas de Informação e Segurança da Informação
- Aquisições e Contas a Pagar
- Planejamento Tributário
- Contas a Receber e Contratos com Clientes
- Governança Corporativa de TI
- Orçamento
- Relações de Trabalho e Benefícios
Resultados alcançados
- 100% do escopo previsto entregue dentro do prazo, com alto padrão técnico;
- Realização de auditorias com base em metodologia estruturada e alinhada a normas internacionais;
- Diagnóstico aprofundado e recomendações práticas para mitigação de riscos e ganho de eficiência;
- Criação de paineis gerenciais e dashboards em Power BI, facilitando a tomada de decisão e o acompanhamento do plano de ação;
- Contribuição efetiva para o fortalecimento da governança, conformidade regulatória e proteção de dados da companhia.
Impacto Estratégico
A atuação da Vennx contribuiu para a elevação da maturidade dos controles internos da CELEPAR, ao mesmo tempo em que estruturou a base para decisões mais ágeis, transparentes e alinhadas aos princípios da administração pública e às melhores práticas de gestão de riscos corporativos.
A proposta tem como principal objetivo auxiliar a PerkinElmer no mapeamento dos principais riscos relacionados à Lei Geral de Proteção de Dados (LGPD - Lei 13.709/18) e à General Data Protection Regulation (GDPR). Visando o detalhamento dos processos da companhia, o escopo deste trabalho prevê a avaliação dos dados pessoais e sensíveis utilizados pela Empresa, assim como a segurança do ambiente de tecnologia da informação que suporta o tráfego e armazenamento dessas informações.
Com a identificação dos processos e sistemas mais relevantes para o trabalho, o mapeamento de dados e das conformidades de TI será realizado por meio de entrevistas e análise de documentações de suporte. Além dos resultados obtidos nos mapeamentos, essa proposta inclui a elaboração de relatório com as recomendações para a conformidade com a LGPD baseada nas melhores práticas do mercado e da indústria, bem como de nossa metodologia proprietária de melhoria de processos.
Nossa proposta está estruturada em duas grandes frentes de trabalho, sendo a primeira vinculada à conscientização dos executivos e do corpo de colaboradores, e a segunda à avaliação dos processos, dos dados e de tecnologia da informação, onde serão realizadas as análises detalhadas e será construído o relatório com a consolidação dos resultados das etapas anteriores.
Objetivos:
- Auxiliar a PerkinElmer na jornada de conformidade com a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral de Proteção de Dados (GDPR).
- Mapear os principais riscos relacionados à proteção de dados, avaliando processos, dados pessoais e sensíveis, e a segurança do ambiente de tecnologia da informação.
- Elaborar um relatório com as melhores práticas e recomendações para garantir a conformidade com as leis de proteção de dados.
Resultados alcançados:
- Validação de 12 itens relacionados à conformidade:
- Avaliação do cumprimento da empresa com os requisitos da LGPD e do GDPR em relação aos itens mapeados.
- Identificação de pontos de melhoria e oportunidades para adequação às normas.
O projeto de conformidade com a LGPD e o GDPR realizado pela Vennx foi fundamental para a PerkinElmer identificar os riscos relacionados à proteção de dados e tomar as medidas necessárias para garantir a sua adequação às leis.
A Vennx, a pedido da Invepar, realizou uma auditoria completa para verificar o uso das antenas instaladas pela Brasil Towers na faixa de domínio da Via-040. O processo envolveu:
▪ Planejamento: Nessa fase, será feito o planejamento dos trabalhos, incluindo a programação logística para realizar a cobertura de todo o trecho a ser verificado.
▪ Coletas e verificações in loco
▪ Serão realizadas as análises de georreferenciamento e o levantamento das especificações técnicas das antenas por meio de capturas audiovisuais por drone. O deslocamento ao longo da Via deverá ser assistido pela Invepar, com o fornecimento de motorista e veículo.
▪ Avaliação técnica das evidências
▪ Com o suporte de um técnico de telecomunicações, será feita a análise das evidências coletadas e, a partir das consultas disponibilizadas pela Anatel, a identificação do uso das antenas e torres.
▪ Relatório de auditoria interna
▪ As evidências e as conclusões do trabalho de auditoria serão registradas em relatório técnico que será entregue à Invepar.
▪ Apresentação de resultados
▪ A equipe de auditoria apresentará os resultados da auditoria nos fóruns de interesse da Invepar,incluindo, se assim for necessário, a Brasil Towers.
Objetivos
• Verificar o uso das antenas instaladas pela Brasil Towers na faixa de domínio da Via-040, concedida à Invepar.
• Coletar evidências para embasar análises, procedimentos internos e gestão de contrato com a Brasil Towers.
Resultados alcançados:
• 39 antenas auditadas
• 13h de voo de drone
• 1800 km percorridos
A auditoria realizada pela Vennx forneceu à Invepar um panorama completo e preciso da utilização das antenas instaladas pela Brasil Towers na faixa de domínio da Via-040. As evidências coletadas e as análises realizadas embasam a tomada de decisões estratégicas pela Invepar em relação ao contrato com a Brasil Towers, assegurando a conformidade com as normas e o cumprimento dos acordos estabelecidos.
A Vennx desenvolveu e implantou o Oráculo, uma plataforma de monitoramento contínuo de acessos corporativos. A solução foi projetada para cruzar dados entre fontes autoritativas, bases de RH e aplicações finais, com o objetivo de detectar inconsistências, acessos indevidos e divergências de status entre sistemas. O projeto atende a uma demanda crítica de governança de acessos, segurança da informação e conformidade regulatória.
Problema Identificado no Cliente
Antes da implementação do Oráculo, os ambientes de acesso da Ipiranga e Ultrapar apresentavam riscos relevantes e diversos pontos de fragilidade, entre eles:
1. Acessos com perfis superiores aos necessários, gerando risco de privilégio indevido;
2. Usuários desligados que ainda mantinham acesso a sistemas e aplicações;
3. Usuários ativos em aplicações, mas ausentes nas bases de RH ou fontes oficiais;
4. Divergências entre o status de usuários nas fontes autoritativas e nas aplicações (ativo/inativo);
5. Baixa rastreabilidade e ausência de alertas automatizados sobre inconsistências.
Objetivo do Projeto
O projeto teve como objetivo estabelecer um mecanismo automatizado de verificação e alerta, capaz de identificar:
• Acessos indevidos ou inconsistentes com as funções exercidas;
• Contas ativas sem respaldo em bases oficiais;
• Falhas de governança no ciclo de vida dos acessos;
• Riscos de exposição de dados ou falhas em controles internos de TI.
A proposta visou reforçar a segurança, a conformidade regulatória e a efetividade dos controles de acesso em ambientes críticos.
Resultados alcançados:
Apesar de ainda em fase de evolução contínua, o Oráculo já demonstrou resultados expressivos:
• Redução de inconsistências de acesso de aproximadamente 20% para o intervalo de 10% a 15%;
• Identificação e correção de acessos indevidos antes não rastreados pelas rotinas convencionais;
• Criação de uma camada adicional de governança de identidades, baseada em dados integrados e monitoramento proativo;
• Apoio direto à gestão de riscos de acesso, especialmente no contexto de exigências de auditoria e conformidade SOx.
O Oráculo consolida-se como uma solução estratégica no ecossistema de governança de acessos da Ipiranga e Ultrapar. Ao reduzir significativamente o número de acessos irregulares, a ferramenta fortalece o ambiente de controle interno, proporciona resposta mais rápida a riscos emergentes e promove maior segurança na gestão de usuários em escala corporativa.
.png)
Problema Identificado
A CELEPAR apresentava desafios relacionados à fragilidade na governança de processos, à ineficiência operacional e à necessidade de maturação dos controles internos e da cultura de riscos. Além disso, havia exposição a riscos não mapeados e ausência de integração entre processos e sistemas, impactando a conformidade com normas e boas práticas como LGPD, COSO, COBIT e ITIL.
Problema Identificado
A Vennx foi contratada para executar uma iniciativa estratégica de auditoria interna e avaliação dos controles internos, com foco na mitigação de riscos, conformidade regulatória e aumento da eficiência. Entre os principais objetivos estavam:
• Avaliar processos críticos em diversas áreas da companhia, com foco em aderência a normas e frameworks reconhecidos;
• Identificar riscos, testar e mapear controles mitigadores;
• Emitir recomendações baseadas em melhores práticas de governança, riscos e compliance;
• Criar paineis interativos em Power BI com resultados consolidados;
• Produzir papeis de trabalho robustos, garantindo rastreabilidade de todos os procedimentos de auditoria.
Escopo e Abordagem
Foram auditados os seguintes temas e processos:
• LGPD – Lei Geral de Proteção de Dados
• Gestão de Projetos e Processos Estratégicos
Estrutura Organizacional e Governança Corporativa de TI
• Provisões, Ativos Intangíveis e Imobilizados
Contratos, Convênios e Assessoria Jurídica
• Inovação, P&D e Compliance
Aquisições, Contas a Pagar e Contas a Receber
Planejamento Tributário e Orçamento
• Relações de Trabalho e Benefícios
• Sistemas de Informação e Segurança da Informação
A metodologia incluiu:
• Entrevistas (walkthrough) com responsáveis pelos processos auditados;
• Diagnóstico de aderência aos frameworks COSO ERM, COSO IC, COBIT e ITIL;
• Mapeamento de riscos, testes de controle e proposição de versão “to be” dos processos;
• Desenvolvimento de matriz de riscos e controles, com priorização conforme materialidade e criticidade;
• Apresentação de Relatório Executivo de Auditoria aos gestores e Conselho de Administração.
A Equinox, uma das líderes no setor de infraestrutura e construção, buscava identificar pontos fracos e inconsistências em seus contratos. O foco neste projeto foi aplicar abordagens de auditoria utilizando tecnologias de ponta.
Objetivos
• Identificar pontos fracos e inconsistências em contratos de infraestrutura e construção.
• Utilizar tecnologias avançadas para leitura e transformação de documentos.
• Processar e analisar grandes volumes de dados para detecção de irregularidades.
Etapas
1. Planejamento inicial: Antecipando as etapas que compõem o trabalho, a Vennx realizará um sprint de planejamento, durante o qual serão realizadas entrevistas com os sponsors para levantar expectativas e definir o cronograma do projeto e o modelo de governança. Esta etapa também inclui a reunião inicial com as partes interessadas.
2. Análise de contrato e coleta de evidências: Etapa de análise dos contratos e seus aditivos para definir as regras de negócio que serão aplicadas. Adicionalmente, reunir evidências a serem processadas para composição das bases de dados.
3. Setup tecnológico: Definição das tecnologias que serão aplicadas para leitura e transformação da documentação coletada. Nesta etapa, a Vennx realizará testes para identificar as ferramentas mais adequadas ao objetivo do projeto.
4. Documentação de Teste: Concluída a etapa de configuração tecnológica, a Vennx prosseguirá com o processamento dos resultados para identificar os red flags correspondentes, seguindo as regras de negócio. Além disso, serão realizados testes manuais para identificar e corrigir falsos positivos. Os resultados serão compilados em um relatório.
Resultados alcançados:
• Avaliação de 13 contratos.
• Análise de 2600 arquivos:
.pdf: 1674
.xlsx: 413
.jpg: 151
.xlsm: 110
.jpeg: 81
.docx: 51
.xlsb: 40
.zip: 32
.msg: 24
.doc: 18
.rar: 2
.csv: 1
.txt: 1
• Utilização de Inteligência Artificial e ferramentas avançadas de mineração de dados para processamento e análise dos documentos.
A Vennx utilizou sua expertise em tecnologia de ponta para auxiliar a Equinox na auditoria de seus contratos de infraestrutura e construção. Com a aplicação de IA e ferramentas avançadas de mineração de dados, foi possível identificar pontos fracos e inconsistências, garantindo maior segurança e eficiência nos processos contratuais da empresa.
Resumo do Projeto
O Vennx Access Radar (VAR) é uma solução desenvolvida para aprimorar a governança de identidades e acessos em ambientes corporativos complexos. A plataforma vai além da simples gestão de concessões e revogações, oferecendo funcionalidades como revisão periódica de acessos, gestão de riscos de Segregação de Funções (SoD) e controle conforme mapas de acesso predefinidos.
Seu design modular permite à organização implementar políticas de acesso baseadas em papeis (RBAC), monitorar riscos com inteligência e manter conformidade contínua com os requisitos de auditoria.
Problema Identificado
Antes da adoção do VAR, os clientes enfrentavam diversos desafios relacionados à gestão de acessos:
- Ambientes com alto risco de acessos não controlados ou obsoletos;
- Demora significativa na concessão de acessos, impactando a produtividade;
- Ausência de revogação tempestiva de acessos de funcionários desligados ou afastados;
- Exposição a riscos regulatórios e operacionais devido a acessos ativos indevidos;
- Falta de visibilidade sobre riscos associados aos acessos, por inexistência de matriz de SoD ou análise formal.
Objetivo do Projeto
O objetivo do VAR é centralizar, automatizar e tornar mais segura a gestão de acessos, reduzindo riscos operacionais e aumentando a agilidade dos processos de concessão, revisão e revogação de acessos. A ferramenta atua em três pilares:
- Eficiência: Agilidade nos processos de acesso com workflows automatizados;
- Segurança: Implementação de segregação de funções e gestão de riscos baseada em perfis e permissões;
- Conformidade: Geração de evidências, relatórios e certificações para auditorias internas e externas.
Resultados alcançados:
- Melhoria significativa na agilidade dos processos de concessão, bloqueio e revogação de acessos;
- Implantação de campanhas de revisão periódica de acessos, com registro centralizado de evidências;
- Redução do risco de acessos indevidos, com análise contínua de SoD e riscos de permissão;
- Monitoramento dinâmico de usuários, inclusive com alertas para casos de inatividade e desvios de perfil;
- Apoio direto à conformidade com normas como SOx e LGPD, promovendo segurança e rastreabilidade.
A adoção do Vennx Access Radar permite às empresas consolidar um modelo de gestão de acessos moderno, proativo e em conformidade com os mais altos padrões de governança. Ao integrar segurança, eficiência e automação, o VAR transforma a gestão de acessos em um ativo estratégico, com impacto direto na redução de riscos, aumento da produtividade e atendimento às exigências de auditoria e compliance.
A Afya, uma das maiores empresas de educação médica do Brasil, enfrentava desafios no gerenciamento de acessos dos seus usuários aos dados corporativos. Para resolver essa questão, implementamos o modelo de Controle de Acesso Baseado em Funções (RBAC - Role-Based Access Control), uma solução estratégica que não apenas protegeu os dados corporativos como também aumentou a eficiência operacional da empresa.
Objetivo
Proteger os dados corporativos, como também, potencializar a eficiência operacional da Companhia através da restrição de acessos dos usuários baseado em suas funções de negócios.
Avaliação de perfis e funcionalidades:
Avaliação de perfis e funcionalidades:
• 270 perfis avaliados.
91.500 funcionalidades avaliadas.
• 20 módulos do TOTVS RM contemplados.
Redução de acessos:
• Acessos antes do projeto: 7.928.291.
• Acessos após o projeto: 1.721.657.
• 78% de redução global de acessos.
• Desenvolvimento de Perfis RBAC:
• 880 usuários abrangidos pelo novo sistema.
• 207 perfis RBAC construídos.
• 60 perfis não transacionais criados (incluindo cubos e fórmulas visuais).
A implementação do RBAC na Afya garantiu a padronização das funções, permitindo que os usuários tivessem acesso apenas às informações necessárias para suas rotinas de trabalho. Com isso, mitigamos os riscos de acessos a informações sensíveis e não relevantes para determinadas funções, fortalecendo a segurança dos dados corporativos, gerando assim, um ambiente de TI mais seguro e eficiente.
A redução de 78% facilitou a gestão de TI e como resultado a empresa obteve uma resposta mais ágil a incidentes de segurança e uma melhor conformidade com políticas internas e regulamentações externas.
Case Afya
VAR
O Vennx Access Radar (VAR) é uma solução desenvolvida para aprimorar a governança de identidades e acessos em ambientes corporativos complexos. A plataforma vai além da simples gestão de concessões e revogações, oferecendo funcionalidades como revisão periódica de acessos, gestão de riscos de Segregação de Funções (SoD) e controle conforme mapas de acesso predefinidos.
Seu design modular permite à organização implementar políticas de acesso baseadas em papeis (RBAC), monitorar riscos com inteligência e manter conformidade contínua com os requisitos de auditoria.
Problema Identificado
Antes da adoção do VAR, os clientes enfrentavam diversos desafios relacionados à gestão de acessos:
• Ambientes com alto risco de acessos não controlados ou obsoletos;
• Demora significativa na concessão de acessos, impactando a produtividade;
• Ausência de revogação tempestiva de acessos de funcionários desligados ou afastados;
• Exposição a riscos regulatórios e operacionais devido a acessos ativos indevidos;
• Falta de visibilidade sobre riscos associados aos acessos, por inexistência de matriz de SoD ou análise formal.
Objetivo do Projeto
O objetivo do VAR é centralizar, automatizar e tornar mais segura a gestão de acessos, reduzindo riscos operacionais e aumentando a agilidade dos processos de concessão, revisão e revogação de acessos. A ferramenta atua em três pilares:
• Eficiência: Agilidade nos processos de acesso com workflows automatizados;
• Segurança: Implementação de segregação de funções e gestão de riscos baseada em perfis e permissões;
• Conformidade: Geração de evidências, relatórios e certificações para auditorias internas e externas.
Resultados alcançados:
Antes da adoção do VAR, os clientes enfrentavam diversos desafios relacionados à gestão de acessos:
• Melhoria significativa na agilidade dos processos de concessão, bloqueio e revogação de acessos;
• Implantação de campanhas de revisão periódica de acessos, com registro centralizado de evidências;
• Redução do risco de acessos indevidos, com análise contínua de SoD e riscos de permissão;
• Monitoramento dinâmico de usuários, inclusive com alertas para casos de inatividade e desvios de perfil;
• Apoio direto à conformidade com normas como SOx e LGPD, promovendo segurança e rastreabilidade.
O Vennx Access Radar (VAR) é uma solução desenvolvida para aprimorar a governança de identidades e acessos em ambientes corporativos complexos. A plataforma vai além da simples gestão de concessões e revogações, oferecendo funcionalidades como revisão periódica de acessos, gestão de riscos de Segregação de Funções (SoD) e controle conforme mapas de acesso predefinidos.
Seu design modular permite à organização implementar políticas de acesso baseadas em papeis (RBAC), monitorar riscos com inteligência e manter conformidade contínua com os requisitos de auditoria.
O Vennx Access Radar (VAR) é uma solução desenvolvida para aprimorar a governança de identidades e acessos em ambientes corporativos complexos. A plataforma vai além da simples gestão de concessões e revogações, oferecendo funcionalidades como revisão periódica de acessos, gestão de riscos de Segregação de Funções (SoD) e controle conforme mapas de acesso predefinidos.
Seu design modular permite à organização implementar políticas de acesso baseadas em papeis (RBAC), monitorar riscos com inteligência e manter conformidade contínua com os requisitos de auditoria.
Problema Identificado
Antes da adoção do VAR, os clientes enfrentavam diversos desafios relacionados à gestão de acessos:
1. Ambientes com alto risco de acessos não controlados ou obsoletos;
2. Demora significativa na concessão de acessos, impactando a produtividade;
3. Ausência de revogação tempestiva de acessos de funcionários desligados ou afastados;
4. Exposição a riscos regulatórios e operacionais devido a acessos ativos indevidos;
5. Falta de visibilidade sobre riscos associados aos acessos, por inexistência de matriz de SoD ou análise formal.
Objetivo do Projeto
O objetivo do VAR é centralizar, automatizar e tornar mais segura a gestão de acessos, reduzindo riscos operacionais e aumentando a agilidade dos processos de concessão, revisão e revogação de acessos. A ferramenta atua em três pilares:
• Eficiência: Agilidade nos processos de acesso com workflows automatizados;
• Segurança: Implementação de segregação de funções e gestão de riscos baseada em perfis e permissões;
• Conformidade: Geração de evidências, relatórios e certificações para auditorias internas e externas.
Resultados alcançados:
• Melhoria significativa na agilidade dos processos de concessão, bloqueio e revogação de acessos;
• Implantação de campanhas de revisão periódica de acessos, com registro centralizado de evidências;
• Redução do risco de acessos indevidos, com análise contínua de SoD e riscos de permissão;
• Monitoramento dinâmico de usuários, inclusive com alertas para casos de inatividade e desvios de perfil;
• Apoio direto à conformidade com normas como SOx e LGPD, promovendo segurança e rastreabilidade.
A adoção do Vennx Access Radar permite às empresas consolidar um modelo de gestão de acessos moderno, proativo e em conformidade com os mais altos padrões de governança. Ao integrar segurança, eficiência e automação, o VAR transforma a gestão de acessos em um ativo estratégico, com impacto direto na redução de riscos, aumento da produtividade e atendimento às exigências de auditoria e compliance.
A Vennx desenvolveu e implantou o Oráculo, uma plataforma de monitoramento contínuo de acessos corporativos. A solução foi projetada para cruzar dados entre fontes autoritativas, bases de RH e aplicações finais, com o objetivo de detectar inconsistências, acessos indevidos e divergências de status entre sistemas. O projeto atende a uma demanda crítica de governança de acessos, segurança da informação e conformidade regulatória.
Problema Identificado no Cliente
Antes da implementação do Oráculo, os ambientes de acesso da Ipiranga e Ultrapar apresentavam riscos relevantes e diversos pontos de fragilidade, entre eles:
1. Acessos com perfis superiores aos necessários, gerando risco de privilégio indevido;
2. Usuários desligados que ainda mantinham acesso a sistemas e aplicações;
3. Usuários ativos em aplicações, mas ausentes nas bases de RH ou fontes oficiais;
4. Divergências entre o status de usuários nas fontes autoritativas e nas aplicações (ativo/inativo);
5. Baixa rastreabilidade e ausência de alertas automatizados sobre inconsistências.
Objetivo do projeto
O projeto teve como objetivo estabelecer um mecanismo automatizado de verificação e alerta, capaz de identificar:
• Acessos indevidos ou inconsistentes com as funções exercidas;
• Contas ativas sem respaldo em bases oficiais;
Falhas de governança no ciclo de vida dos acessos;
• Riscos de exposição de dados ou falhas em controles internos de TI.
A proposta visou reforçar a segurança, a conformidade regulatória e a efetividade dos controles de acesso em ambientes críticos.
Resultados alcançados
Apesar de ainda em fase de evolução contínua, o Oráculo já demonstrou resultados expressivos:
• Redução de inconsistências de acesso de aproximadamente 20% para o intervalo de 10% a 15%;
• Identificação e correção de acessos indevidos antes não rastreados pelas rotinas convencionais;
• Criação de uma camada adicional de governança de identidades, baseada em dados integrados e monitoramento proativo;
• Apoio direto à gestão de riscos de acesso, especialmente no contexto de exigências de auditoria e conformidade SOx.
O Oráculo consolida-se como uma solução estratégica no ecossistema de governança de acessos da Ipiranga e Ultrapar. Ao reduzir significativamente o número de acessos irregulares, a ferramenta fortalece o ambiente de controle interno, proporciona resposta mais rápida a riscos emergentes e promove maior segurança na gestão de usuários em escala corporativa.
O Desafio
Em 2024, a Ipiranga recebeu do auditor externo a identificação de uma fraqueza material em seu ambiente de controles internos de TI, indicando que os processos, controles e sistemas então existentes não ofereciam segurança adequada às informações publicadas nas demonstrações financeiras. A baixa maturidade do ambiente representava um risco significativo à conformidade regulatória, especialmente frente à Lei Sarbanes-Oxley (SOx).
Objetivo do Projeto
O projeto Gap Zero teve como propósito elevar a maturidade do sistema de controle interno da Ipiranga, com foco na governança de TI e nos Controles Gerais de Tecnologia da Informação (ITGCs), buscando:
• Redução dos gaps apontados em auditorias externas;
• Aderência às melhores práticas de mercado;
• Fortalecimento da estrutura de governança e mitigação de riscos operacionais e regulatórios;
• Criação de um ambiente de controles sustentáveis e auditáveis.
Abordagem e Linhas de Serviço
A Vennx atuou de forma integrada em seis linhas de serviço, visando o fortalecimento contínuo da governança e a consolidação do ambiente de TI:
1. Mapeamento de Processos e Controles de TI
Criação de fluxogramas detalhados e documentação de controles existentes, que foram incorporados à Matriz de Riscos e Controles (MRC), garantindo clareza, padronização e preservação do conhecimento.
2. Assessment do COBIT 2019
Diagnóstico do ambiente atual comparado aos objetivos do framework, com elaboração de roadmap de melhorias e atribuição clara de responsabilidades, alinhando a TI às melhores práticas de governança.
3. Execução dos Controles Gerais de TI (ITGCs)
Realização de testes de desenho (TODs) trimestrais, monitoramento mensal de controles críticos e execução pontual de controles essenciais.
4. Suporte nas Interações com Auditoria Externa
Acompanhamento técnico de reuniões e testes de indagação, análise de solicitações do auditor e apoio na formulação de respostas eficazes e alinhadas ao escopo da auditoria.
5. Curadoria de Evidências
Revisão técnica e tempestiva de documentos exigidos em auditoria, com foco na consistência das evidências e na adequação formal aos requisitos do processo.
6. Estruturação da Governança de TI
Desenvolvimento de organograma com papeis e responsabilidades claros para os agentes de ITGC e criação da Política de Aderência à SOx, promovendo a execução consistente dos controles e o cumprimento de prazos críticos.
Resultados alcançados
• Elevação da maturidade dos controles internos de TI, com ganho de robustez e rastreabilidade;
• Redução dos gaps e apontamentos formais identificados pela auditoria externa;
• Melhoria na curadoria e tempestividade das evidências de auditoria;
• Consolidação de um modelo de governança de TI sustentável, alinhado a frameworks como COBIT e COSO, com foco na conformidade SOx;
• Fortalecimento da cultura de riscos, controles e responsabilidade organizacional.
O projeto Gap Zero foi decisivo para a reversão do status de fraqueza material no ambiente de controles de TI da Ipiranga, promovendo ganhos expressivos em segurança, governança e conformidade. Ao entregar um modelo maduro e auditável, a Vennx contribuiu para a criação de um ambiente mais confiável para os stakeholders e aderente às exigências de mercado e regulação.
O Desafio
A Ipiranga enfrentava um cenário de governança fragilizada sobre contas genéricas, decorrente de um inventário desatualizado e do fluxo de concessão descentralizado de acessos não nominais.
A ausência de padronização e controle dificultava a rastreabilidade, aumentava a exposição a riscos de segurança e comprometia a conformidade com os controles exigidos pela Lei Sarbanes-Oxley (SOx).
Objetivo do Projeto
O projeto teve como foco a atualização do inventário de usuários não nominais (contas genéricas e de serviço), com a finalidade de:
• Diagnosticar riscos associados a essas contas por meio de análise SoD (Segregation of Duties) e permissões críticas;
• Fortalecer a rastreabilidade e segurança de acessos em ambientes sensíveis;
Reduzir riscos de uso indevido ou acessos desnecessários;
• Apoiar a conformidade com os requisitos SOx por meio de governança estruturada;
• Complementar a frente de processos de gestão de identidades conduzida anteriormente pela Vennx.
Abordagem e entregas
• Atualização do inventário completo de usuários não nominais, com foco nos sistemas classificados como críticos ou dentro do escopo SOx;
• Identificação de acessos não catalogados anteriormente;
• Inclusão da informação “log on to” em contas de serviço no Active Directory (AD), garantindo que os usuários genéricos sejam limitados aos servidores específicos autorizados;
• Mapeamento e validação dos perfis junto aos responsáveis técnicos;
• Execução de revogações de acessos obsoletos ou indevidos, com base em análise de risco.
Resultados alcançados
• Inventário de Usuários Não Nominais atualizado, com regularização de dados ausentes e padronização de informações;
• Redução de riscos relacionados a contas compartilhadas ou sem identificação clara de uso;
• Maior controle sobre permissões críticas em sistemas legado;
• Fortalecimento da governança de acessos, em alinhamento com os pilares de segurança da informação e compliance regulatório.
A iniciativa consolidou uma camada essencial da governança de acessos da Ipiranga, possibilitando visibilidade, controle e segurança sobre contas genéricas em ambientes críticos. A atuação preventiva reforça o compromisso com boas práticas de TI, proteção de ativos sensíveis e conformidade com auditorias externas.
O Desafio
A Ipiranga identificava riscos crescentes relacionados à ausência ou desatualização dos mapas de perfis em sistemas legados, o que gerava inconsistência na governança de acessos e aumento da exposição a riscos de não conformidade, especialmente em auditorias relacionadas à Lei Sarbanes-Oxley (SOx).
A inexistência de Cargos Base e Perfis padronizados dificultava o monitoramento contínuo da aderência de acessos, além de comprometer a fluidez dos processos e o tempo de resposta operacional no atendimento de chamados.
Objetivo do Projeto
O projeto teve como propósito a criação e atualização dos Mapas de Perfis nos sistemas definidos, com foco em:
• Eliminar fluxos interrompidos por pendência de aprovação;
• Reduzir o tempo e o custo do trâmite de chamados;
• Mitigar riscos de não conformidade em auditorias externas (SOx);
• Garantir aderência dos acessos e padronização entre Cargos Base e Perfis;
• Viabilizar o monitoramento contínuo de conformidade pelo Oráculo, ferramenta já integrada aos processos de BPO e Central de Acessos.
Resultados Alcançados
• Criação de Mapas de Perfil para 8 aplicações, com inclusão de Cargos Base e Perfis inexistentes;
• Atualização de Mapas de Perfil para 22 aplicações, com mapeamento e criação de elementos ausentes;
• Estruturação de um modelo mais robusto de governança de acessos, apoiando as iniciativas já implantadas no escopo de BPO e Central de Acessos;
• Melhoria significativa na assertividade da gestão e controle dos acessos, com maior rastreabilidade e capacidade de resposta frente às exigências de compliance e auditoria.
O projeto contribuiu diretamente para a elevação do nível de maturidade da gestão de identidades e acessos na Ipiranga, ao promover a padronização e a atualização de um componente crítico para o controle interno: os Mapas de Perfis.
O alinhamento à governança estabelecida e o suporte à conformidade SOx reforçam o compromisso da organização com uma atuação segura, eficiente e auditável.
O Desafio
A Ipiranga enfrentava um ambiente altamente sensível a riscos de conformidade, com um perímetro SOx extenso, forte dependência de programas customizados no JDE, e uma documentação limitada no repositório ABADI. Entre os principais problemas, destacam-se:
• Elevado volume de conflitos de Segregação de Funções (SoD);
• Permissões excessivas e desnecessárias;
• Presença de falsos positivos e conflitos não mapeados;
• Gaps significativos nos controles de acesso;
• Fragilidade no processo de concessão, revisão e revogação de acessos.
Objetivo da Solução
Estabelecer uma operação contínua de gestão de acessos e identidades, com foco na regularização dos processos críticos e no aumento da maturidade dos controles internos. A estratégia foi construída com base nas melhores práticas de IAM (Identity and Access Management), envolvendo:
• Definição clara de papeis, responsabilidades e cadeia de ownership;
• Estruturação de controles internos e matriz de SoD com regras atualizadas;
• Desenvolvimento de workflows de concessão e revogação de acessos;
• Tratamento rigoroso de acessos privilegiados;
• Implantação de novas etapas de aprovação e validação de riscos.
Solução Implementada
Mobilizamos uma célula especializada em gestão de identidades e acessos, dedicada à operação contínua de:
• Análise de SoD para chamados de manutenção de usuários, cargos e perfis;
• Monitoramento ativo do ambiente JDE para identificação e mitigação de riscos;
• Atualização sistemática da matriz de riscos e controles compensatórios;
• Suporte técnico e estratégico à área de controles internos.
Resultados Alcançados
• Processos mapeados, documentados e padronizados, elevando o nível de governança e conformidade;
• Criação e implementação de fluxos de trabalho sob medida para a realidade do cliente;
• Redução significativa de conflitos de acessos e falsos positivos, com melhoria na assertividade dos controles;
• Estabelecimento de uma estrutura de gestão de acessos contínua, sustentável e auditável.
A Ipiranga, uma das principais empresas do setor de combustíveis e energia no Brasil, precisava de um olhar voltado para a gestão de seus sistemas SOX e na definição de estratégias para segregar as funções de seus usuários e perfis de acesso. Por isso, a equipe de especialistas Vennx foi contratada para realizar um diagnóstico completo e implementar um plano de ação eficaz para solucionar desafios.
Objetivo
Realizar um diagnóstico sobre os sistemas SOX da Ipiranga, para fins de definição de estratégia para endereçar a segregação de funções de seus usuários e perfis de acesso.
Etapas
• Elaboração da metodologia de classificação de sistemas sob escopo de SoD. Análise da estratégia de riscos da companhia, dos apontamentos dos auditores e da prática de tecnologia para estabelecimento do processo para definição do Perímetro SoD, considerando critérios de classificação de sistemas, impacto potencial, papeis e responsabilidades.
• Construção da ferramenta de identificação de sistemas expostos a SoD: Desenvolvimento da ferramenta de identificação da exposição de SoD para sistemas, contemplando as regras estabelecidas na etapa #01, para geração automática da avaliação de criticidade de cada aplicação para fins de segregação de funções.
• Classificação dos sistemas e definição do Perímetro SoD: Avaliação dos sistemas SOX da Ipiranga para identificação do nível de exposição de SoD para cada aplicação. Compilação dos resultados, definição do Perímetro SoD e elaboração do roadmap de tratamento dos riscos de SoD para os sistemas mapeados.
• Construção da versão #01 da Matriz SOD dos sistemas do Perímetro: Análise dos códigos fonte e do dicionário de transações, quando aplicável, e realização de entrevistas para levantamento dos riscos SOD dos sistemas.
• Diagnóstico e plano de ação para mitigação dos conflitos: Execução do diagnóstico de conflitos no ambiente da Ipiranga e desenho do plano de ação para mitigação e, se aplicável, apresentação ao auditor externo.
• Execução do plano de ação para mitigação dos conflitos SOD: A partir do plano de ação definido, executar as seguintes ações de mitigação de conflitos:
1) quebra de perfis conflitantes;
2) associação de controles compensatórios;
3) análise mitigatória dos acessos;
4) isolamento de transações e perfis que não impactam SOX.
Resultados alcançados:
- 25 sistemas avaliados.
- 20 sistemas classificados para escopo SoD.
- Elaboração de 20 matrizes de riscos SoD em apenas 7 dias.
- Análise de 5.500 transações e 1.262 perfis.
- Avaliação de 23.000 usuários.
- Mapeamento de 15.700 possibilidades de riscos.
- Identificação de 30.600 conflitos intrínsecos.
- Identificação de 1.500.000 conflitos extrínsecos.
O case da Ipiranga demonstra a eficácia da Vennx em implementar soluções de segregação de funções em sistemas SOX, garantindo segurança e conformidade. Em apenas 7 dias, conseguimos criar 20 matrizes de riscos SoD, mostrando a rapidez e a precisão de nossas soluções. Para saber mais sobre como a Vennx pode ajudar sua empresa a implementar estratégias de segregação de funções e fortalecer a governança de TI, entre em contato conosco.
