SOC 2: procedimentos prontos para auditoria sem sprint de doc
Um auditor SOC 2 não quer páginas bonitas no Notion. Ele quer prova de que o controle rodou. Um guia gravado pelo dono do processo, com cliques carimbados por horário, é a prova mais limpa que a maioria dos auditores vê no ano.
- Biblioteca reconstruída
- 6 semanas
- Cobertura de auditoria
- 100%
- Pendências pós-auditoria
- 0
- Encerramento da auditoria
- 2 semanas adiantado
A versão curta.
Auditoria SOC 2 raramente falha por falta de controle. Falha por falta de prova. O time tem o controle rodando, só não consegue demonstrar que rodou. A saída cabe em uma regra: cada dono de processo grava o workflow uma vez, a gravação carrega horário e captura de tela, e o mesmo artefato vira SOP no dia a dia e peça do pacote de evidência na semana da auditoria. Padrão de seis semanas, 100% de cobertura de controles numa fintech B2B brasileira de 38 pessoas, sem ninguém abrir uma página em branco para escrever doc nova.
O buraco de doc do SOC 2 que ninguém te avisa
Quase toda fintech early-stage prepara SOC 2 contratando uma plataforma de conformidade (Vanta, Drata, Secureframe) e gastando seis semanas em políticas. Política é a parte fácil. A plataforma já entrega 90% via template.
O buraco aparece no fieldwork. O auditor pede prova de que um controle específico rodou no período. Não a política. A execução.
Em Revisão de Acesso (CC6.3): "me mostra a última revisão trimestral, a lista de usuários revisados e as ações tomadas". O time fez a revisão. A prova é uma captura jogada num Google Drive que pode ou não bater com o calendário da política.
Em Gestão de Mudanças (CC8.1): "me explica como uma mudança de código é revisada e implantada nesse ambiente". O time tem o processo. A explicação vira um engenheiro sênior no quadro branco por trinta minutos no meio da auditoria.
Em Gestão de Fornecedores (CC9.2): "me mostra como vocês integram um novo subprocessador e a evidência da avaliação". A prova é uma página do Notion com cinco abas, sendo metade descrevendo o fornecedor antigo.
Não são lacunas de política. São lacunas de prova. Custo de tapar na semana da auditoria: cerca de quarenta horas de tempo de liderança sênior por controle. Para um time pequeno preparando SOC 2, é a fatura que pega todo mundo de surpresa.
A reação típica, "reescrever as SOPs", piora a situação. Dezoito SOPs a duas horas cada dão trinta e seis horas de redação para doc que envelhece em dois meses. O SOC 2 Trust Services Criteria da AICPA é direto: a prova é o artefato do trabalho, não a descrição do trabalho.
O que o auditor quer de fato, versus o que o time escreve
A avaliação de uma prova passa por três testes do auditor.
1. O processo rodou durante o período de auditoria? Página bonita do Notion não responde isso. Uma gravação carimbada por horário, sim. Um log de cliques, sim. Uma captura do sistema vivo, datada, sim. O auditor não procura descrição. Procura rastro.
2. O processo é repetível? Um Loom solto de janeiro de 2024 não é prova repetível. Um guia que diz "Dono: Vera; última atualização: abril de 2026; revisão de acesso Q1 anexa" é prova repetível. O auditor quer saber que o mesmo processo rodou em Q1, Q2, Q3 e Q4 do período.
3. O processo se opera sem o autor? É aqui que a maioria tropeça. O CFO gravou a SOP, depois saiu, e a CFO que assumiu não roda o processo do mesmo jeito. Os auditores chamam isso de "dependência de pessoa-chave" e registram em CC1.4.
A página bonita do Notion não passa em nenhum dos três. O guia gravado pelo dono passa nos três. Quando uma fintech B2B de 38 pessoas reconstruiu sua biblioteca de SOPs em seis semanas para SOC 2, a nota do auditor cabia em uma frase: "a prova SOC 2 mais limpa que vi esse ano". Vinte e uma SOPs gravadas pelos donos, com horário e capturas dentro de cada uma. Para o que toca dado pessoal, a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) e a ANPD esperam a mesma lógica: prova de execução vence descrição.
| Pergunta do auditor | Resposta errada | Resposta certa |
|---|---|---|
| Me mostra como vocês revisaram acesso de usuários no Q1 | "Aqui está a política" | "Aqui está a revisão gravada com horários, a lista de usuários como estava em 31 de março, e os desprovisionamentos feitos" |
| Como uma mudança de código vai para produção? | "Engenheiro sênior leva o auditor passo a passo" | "Aqui está a SOP gravada com prova de tela dos checks de CI, da review de PR e do deploy" |
| O que acontece quando um subprocessador é adicionado? | "Aqui está a página do Notion" | "Aqui está o guia gravado de onboarding de fornecedor e a prova das três últimas avaliações" |
O padrão: SOP gravada pelo dono do processo
O padrão que entregou 100% de cobertura na fintech de 38 pessoas roda em uma regra única: o dono do processo grava a SOP, não um time central de doc.
Três motivos pelos quais isso funciona.
1. A gravação captura o processo real. Um redator central entrevistando o dono produz uma descrição. O dono gravando o workflow produz o workflow. A diferença pesa mais do que parece, e o auditor enxerga.
2. A manutenção tem ciclo curto. Quando o processo muda (ferramenta nova, aprovador novo, novo limite), o dono regrava só aquela etapa em dois minutos. Um redator central vira gargalo e quebra a manutenção em um trimestre.
3. A propriedade fica auditável. SOC 2 CC1.4, definido na SOC for Service Organizations da AICPA, exige responsabilidades nomeadas. Uma SOP com dono identificado, que pode ser chamado para demonstrar o processo, satisfaz CC1.4 direto. Página do Notion sem dono, não.
O setup tem quatro etapas.
Etapa 1. Listar os controles do escopo SOC 2. Entre quinze e trinta controles numa auditoria Type 2. Cada controle, um dono e uma SOP.
Etapa 2. Atribuir um dono por controle. O dono é quem executa o processo hoje. Não quem é dono da política. Não quem a escreveu. Quem clica no workflow real. Revisão de Acesso costuma ser o lead de TI, não o CISO. Gestão de Fornecedores costuma ser Operações, não Jurídico.
Etapa 3. Cada dono grava a SOP uma vez. A primeira leva vinte e cinco minutos. A terceira, dez. O dono executa o processo como num dia normal, comenta o raciocínio em voz alta e para quando o processo termina. A saída é um guia com horários, capturas e áudio narrado se o auditor pedir.
Etapa 4. Regravar a etapa que mudou. Mudou uma etapa, regrava aquela etapa. A biblioteca fica viva sem sprint de redação.
A ferramenta usada no caso era uma extensão do Chrome que captura cliques e telas automaticamente. Outras ferramentas funcionam; o modelo de operação pesa mais que a ferramenta. O que nunca funciona são páginas monolíticas no Notion sem dono.
Como gravar a evidência conforme o processo roda
O padrão acima produz SOPs. O pedido da semana da auditoria é a SOP mais a prova de execução recente. O truque é fazer com que sejam o mesmo artefato.
Três padrões para gravar evidência em pleno voo.
1. Carimbar a execução com horário. Toda gravação produz um artefato datado. Quando a revisão de acesso roda em Q1, o dono grava a sessão. A mesma gravação serve de SOP para Q2 e de prova para Q1. O padrão de leitura em F mapeado pela Nielsen Norman Group reforça que esse rastreio precisa estar no topo do guia, não enterrado.
2. Capturar a tela com o dado, não a sequência de cliques. A prova que o auditor quer é o dado que o operador viu. Uma gravação da revisão de acesso captura a lista de usuários como exibida no IDP, as atribuições de papel e os desprovisionamentos. Isso é a prova. A sequência de cliques é a SOP.
3. Exportar como PDF brandado para o pacote de evidência. A maioria das plataformas de auditoria ingere PDF ou HTML. O Capture exporta com timestamps, contagem de cliques e capturas passo a passo. Sem precisar compilar evidência à parte.
O efeito de capitalização é a surpresa. A primeira auditoria pede mais trabalho porque a biblioteca está sendo construída. A segunda pede uma fração do tempo: a biblioteca existe, os donos conhecem o gesto, o pacote se monta sozinho.
Se o time ainda não escolheu a ferramenta de documentação para o esforço SOC 2, a seleção das melhores alternativas ao Scribe em 2026 cobre os candidatos que os auditores mais veem em pacotes de evidência.
A checklist da semana da auditoria
Na semana da auditoria, a biblioteca tem que responder cada pergunta padrão de auditor sem que liderança sênior precise escrever conteúdo novo. A checklist abaixo é o que fecha auditoria duas semanas adiantado.
- Cada controle tem um dono nomeado nos metadados da SOP. O auditor pergunta "quem roda isso", e a resposta está no artefato, não na cabeça de alguém.
- Cada SOP foi regravada ou atualizada nos últimos seis meses. Seis meses é a janela de frescor que o auditor espera. Mais que isso e ele empurra de volta.
- A execução mais recente está com horário e cai no período da auditoria. Revisão de acesso Q1 gravada em Q2, ok. Gravação de janeiro sem atualização Q3, não.
- A SOP e a prova são o mesmo artefato. O PDF do pacote de evidência é o mesmo guia que o time usa para operar o processo. Sem descompasso entre política e prática.
- Os metadados de gravação são auditáveis. Contagem de cliques, horários e áudio narrado (quando pedido) são exportáveis. O auditor verifica que a gravação veio do sistema real, não de uma reconstituição.
- A biblioteca tem uma página índice única. "Comece por aqui" é uma página real com vinte e uma entradas. O auditor pede a lista mestra, o time manda uma URL.
Pelo contrário, a semana de auditoria que não fecha no prazo tem pelo menos quatro desses pontos faltando. Mais comum são os pontos 3 e 4 (frescor e paridade SOP-prova).
O resumo de três linhas que a COO usou para escopar o esforço SOC 2: a propriedade é auditável, a prova de tela é auditável, e regravar uma etapa é mais rápido que reescrever uma página de wiki. Aplicadas a vinte e um controles, essas três linhas fecharam a auditoria duas semanas antes da data prevista. Para os pontos onde SOC 2 e LGPD se cruzam (registro de tratamentos, mapeamento de subprocessadores, base legal de retenção), a ANPD espera o mesmo princípio. As diretrizes de legibilidade da Nielsen Norman Group deixam claro que um guia escaneável fecha auditoria mais rápido que um blocão de texto bem escrito.
Perguntas frequentes.
- O padrão funciona para SOC 2 Type 1 ou só Type 2?
Os dois. Type 1 é um teste num ponto no tempo, então as SOPs precisam estar gravadas até a data do teste. Type 2 é um teste sobre um período, e é onde o padrão de gravação carimbada capitaliza: cada execução trimestral vira evidência do período anterior e SOP para o seguinte. A maioria dos times constrói a biblioteca pensando em Type 2 porque o investimento por controle se amortiza ao longo do período da auditoria.
- Em que isso difere de usar Vanta, Drata ou Secureframe?
As plataformas de conformidade (Vanta, Drata, Secureframe) cuidam dos templates de política, do monitoramento de controles e da coleta de evidência dos sistemas conectados (cloud, IDP, ticketing). Elas não geram as SOPs em si. O método de gravação pelo dono preenche esse buraco. Os times rodam uma plataforma de conformidade para monitoramento e uma ferramenta de guias para SOPs; os dois juntos produzem o pacote pronto para auditoria.
- E para ISO 27001, HIPAA ou auditoria casada com LGPD?
Mesmo padrão. ISO 27001 é mais pesado em doc que SOC 2, e a SOP gravada pelo dono compensa ainda mais: a exigência capitaliza com a contagem de controles. HIPAA tem escopo mais estreito, mesmo princípio de prova de execução. Para LGPD, a ANPD cobra demonstração de tratamento documentado: uma SOP gravada do registro de operações, do atendimento a titular e do desprovisionamento satisfaz a prestação de contas (artigo 6º, inciso X). O método é agnóstico ao framework.
- Como tratar SOPs que envolvem dado sensível (PII, financeiro)?
Duas abordagens. Primeira, redação na captura: o Capture e similares deixam o gravador desenhar uma caixa de redação sobre a área com PII antes de o guia ser publicado. Segunda, captura em sandbox: gravar a SOP contra um ambiente de homologação com dado sintético. Os auditores aceitam qualquer uma das duas, desde que a SOP corresponda ao processo de produção e que a redação ou o sandbox estejam documentados. Sob LGPD, vale a minimização também em doc interna.
- Quanto tempo leva para construir a biblioteca do zero?
A fintech B2B de 38 pessoas do caso construiu vinte e uma SOPs em seis semanas, com um dono por SOP e uma sessão de gravação por dono por semana. O padrão escala: um time de 60 pessoas com trinta SOPs roda na mesma janela porque o trabalho é paralelo entre os donos. O gargalo é a disponibilidade dos donos, não o tempo de gravação. A gravação em si leva vinte e cinco minutos na primeira tentativa e cai para dez na terceira.
Pronto para gravar SOPs que servem como prova de auditoria?
O Capture grava a SOP, captura a prova de tela e exporta um PDF brandado para o pacote da auditoria. Extensão Chrome gratuita, sem cadastro. Cada dono grava uma vez, a biblioteca atualiza uma etapa por vez.
Alternativa ao Tango para equipes de IT Ops em 2026
Uma equipe de IT em uma scale-up de 220 pessoas transformou os vinte tickets recorrentes em guias Capture. O volume Tier-1 caiu 35% em oito semanas. O resto é a aritmética do assento.
Como documentar um fluxo de onboarding de clientes em 2026
A maioria das documentações de onboarding morre em oito semanas porque ninguém regrava quando a UI muda. A saída não é um redator melhor. É um método recording-first que toma dez minutos por refresh.
A regra dos 12 passos: por que o tamanho prediz o fracasso
Quase todo time de documentação escreve guias mais longos do que deveria. O tamanho joga contra você, e 12 passos é o teto operacional acima do qual a taxa de conclusão desaba.
Grave um workflow.
Extensão Chrome gratuita. Sem cadastro.