CAPTURE
BlogOperações · SOP e conformidade
Operações · SOP e conformidade

SOC 2: procedimentos prontos para auditoria, sem sprint de documentação

Um auditor SOC 2 não quer páginas Notion bonitas. Quer prova de que um controlo correu. Um guia gravado pelo dono do processo, com cliques datados, é a prova mais limpa que a maioria dos auditores vê no ano todo.

Portrait of Charles Krzentowski
Escrito por
Charles Krzentowski
Co-founder, Capture
Publicado
Preços verificados
maio de 2026
Pilha de cartões de guia ligados por linhas de passos datados a um alvo central, ilustração brutalista que sugere SOP que produzem a sua própria prova de auditoria
Os números
Biblioteca reconstruída
6 semanas
21 SOP, donos formados
Cobertura de auditoria
100%
Controlos com prova de ecrã
Pedidos pós-auditoria
0
3
Sobre documentação, auditoria anterior
Fecho da auditoria
2 semanas antes
Face à janela planeada
Em 60 segundos

A versão curta.

Uma auditoria SOC 2 raramente cai pelos controlos. Cai pela prova. As equipas têm os controlos a correr. Não conseguem demonstrar que correram. A saída resume-se a uma regra: cada dono grava o processo uma vez, a gravação fica com datas e capturas de ecrã, o mesmo artefacto serve de SOP no dia a dia e de peça de prova na semana de auditoria. Seis semanas, 21 SOP, fintech B2B portuguesa de 38 pessoas, Series A: 100% dos controlos cobertos, zero documentos redigidos a partir de uma página em branco.

01 · Secção

O buraco na documentação SOC 2 de que ninguém avisa

A maioria das fintech early-stage prepara SOC 2 a ligar uma plataforma de conformidade (Vanta, Drata, Secureframe) e a gastar seis semanas em políticas. As políticas são a parte fácil. A plataforma faz o template de noventa por cento delas.

O buraco aparece no fieldwork. O auditor pede a prova de que um controlo específico correu durante o período auditado. Não a política. A execução. Com exemplos.

Para a Revisão de Acessos (CC6.3), o auditor pergunta: "mostrem-me a última revisão trimestral, a lista de utilizadores revistos e as ações tomadas". A equipa fez a revisão. A prova é uma captura de ecrã arrumada num Google Drive, que mais ou menos bate certo com o calendário da política.

Para a Gestão de Mudança (CC8.1), o auditor pergunta: "expliquem-me como uma alteração de código é revista e implantada neste ambiente". A equipa tem o processo. A explicação acaba num engenheiro sénior à frente de um quadro durante trinta minutos, no meio da auditoria.

Para a Gestão de Fornecedores (CC9.2), o auditor pergunta: "mostrem-me como integram um novo subcontratante e a prova da avaliação". A equipa fê-lo. A prova é uma página Notion com cinco separadores, metade dos quais descreve o fornecedor antigo.

Não são buracos de política. São buracos de prova. O custo de os tapar na semana de auditoria ronda as quarenta horas de tempo sénior por controlo. Para uma equipa pequena a preparar SOC 2, é a fatura que apanha toda a gente de surpresa no primeiro audit.

O reflexo de "reescrever as SOP" só piora as coisas. Dezoito SOP a duas horas cada uma são trinta e seis horas de redação de documentação que envelhece em dois meses. Os Trust Services Criteria SOC 2 da AICPA são claros: a prova é o artefacto do trabalho, não a descrição do trabalho.

02 · Secção

O que o auditor quer mesmo, contra o que a equipa redige

A avaliação de uma prova passa por três testes.

1. O processo correu durante o período auditado? Páginas Notion não respondem a isto. Uma gravação datada responde. Um log de cliques responde. Uma captura de ecrã do sistema vivo, com data, responde. O auditor não procura uma descrição. Procura um rasto.

2. O processo é repetível? Um Loom solto de janeiro de 2024 não é prova repetível. Um guia que diz "Dono: Filomena; última atualização: abril de 2026; revisão de acessos Q1 anexada" é prova repetível. O auditor quer saber que o mesmo processo correu em Q1, Q2, Q3 e Q4 do período auditado.

3. O processo aguenta-se sem o autor? Esta é a pergunta onde a maioria das equipas cai. O CFO gravou a SOP, depois saiu da empresa, e a CFO que o substituiu não corre o processo da mesma maneira. Os auditores chamam a isto "dependência de pessoa-chave" e marcam debaixo de CC1.4.

A página Notion bem arrumada chumba os três testes. O guia gravado pelo dono passa os três. Depois de uma fintech B2B portuguesa de 38 pessoas reconstruir a biblioteca de SOP em seis semanas para SOC 2, a nota do auditor cabia numa frase: "a prova SOC 2 mais limpa que vi este ano". Vinte e um guias, gravados pelos donos, com datas e capturas de ecrã embebidos em cada um. Para os pontos onde dados pessoais entram em cena, a CNPD (Comissão Nacional de Proteção de Dados) e a Lei n.º 58/2019, que transpõe o RGPD para a ordem jurídica portuguesa, seguem a mesma lógica: a prova de execução vale mais do que a descrição do procedimento.

Pergunta do auditor
Mostrem-me a revisão de acessos do Q1
Resposta errada
"Aqui está a política"
Resposta certa
"Aqui está a revisão gravada com datas, a lista de utilizadores a 31 de março, e as ações de desprovisionamento"
Pergunta do auditor
Como é que uma alteração de código vai para produção?
Resposta errada
"O engenheiro sénior explica em direto ao auditor"
Resposta certa
"Aqui está a SOP gravada com prova de ecrã dos checks de CI, da revisão de PR e do passo de deploy"
Pergunta do auditor
O que acontece quando um subcontratante é adicionado?
Resposta errada
"Aqui está a página Notion"
Resposta certa
"Aqui está o guia de onboarding de fornecedor gravado e a prova das três últimas avaliações"
03 · Secção

O padrão: SOP gravada pelo dono do processo

O padrão que produziu 100% de cobertura assenta numa regra única: é o dono do processo que grava a SOP, não uma equipa central de documentação.

Três razões para isto funcionar.

1. A gravação capta o processo real. Um redator central que entrevista o dono produz uma descrição. O dono que executa o seu próprio fluxo produz o fluxo. A diferença pesa mais do que parece. O auditor nota.

2. O ciclo de manutenção é curto. Quando o processo muda (uma ferramenta nova, um novo aprovador, um limite diferente), o dono volta a gravar só o passo afetado em dois minutos. Um redator central é um gargalo que parte o ciclo de manutenção logo no primeiro trimestre.

3. A responsabilidade fica auditável. O CC1.4 do SOC 2, definido no conjunto SOC for Service Organizations da AICPA, exige responsabilidades atribuídas. Uma SOP com um dono nomeado, capaz de ser chamado para demonstrar o processo, satisfaz CC1.4 diretamente. Uma página Notion sem dono não satisfaz.

O setup tem quatro passos.

Passo 1. Listar os controlos no âmbito SOC 2. A maioria das empresas tem entre quinze e trinta controlos no âmbito de uma auditoria Type 2. Cada controlo precisa de um dono e uma SOP.

Passo 2. Atribuir um dono por controlo. O dono é a pessoa que executa o processo hoje. Não é o detentor da política. Não é quem escreveu a política. É quem clica no fluxo real quando o processo corre. Para a Revisão de Acessos é, em geral, o lead de IT, não o CISO. Para a Gestão de Fornecedores é Operações, não o jurídico.

Passo 3. Cada dono grava a SOP uma vez. A primeira leva vinte e cinco minutos. A terceira leva dez. O dono executa o processo exatamente como faria num dia normal, comenta o raciocínio, e para quando o processo termina. A saída é um guia com datas, capturas de ecrã e áudio do narrador, se o auditor pedir.

Passo 4. Voltar a gravar apenas o passo que muda. Mesmo padrão da documentação de onboarding de clientes: muda um passo, regrava-se esse passo. A biblioteca mantém-se atualizada sem sprint de documentação.

A ferramenta usada na missão portuguesa foi uma extensão Chrome de captura que regista cliques e capturas de ecrã automaticamente. Outras ferramentas funcionam; o modelo operacional pesa mais que a ferramenta. O que nunca funciona são páginas Notion monolíticas sem dono. Equipas Outsystems, Talkdesk e Feedzai a aplicar este padrão geraram bibliotecas que envelhecem bem porque o pilar de revisão é o engenheiro ou operador que de facto corre o processo, não um redator técnico que ouviu falar dele.

04 · Secção

Como gravar a prova ao mesmo tempo que se executa

O padrão acima produz SOP. O pedido da semana de auditoria é a SOP mais a prova de execução recente. O truque é tornar essas duas coisas no mesmo artefacto.

Três padrões para gravar a prova em fluxo.

1. Datar a execução. Cada gravação produz um artefacto com data. Quando a revisão de acessos corre em Q1, o dono grava a sessão. A mesma gravação serve de SOP para Q2 e de prova para Q1. Os auditores apreciam porque a SOP e a prova são o mesmo artefacto, rastreável a uma data.

2. Captar a vista de dados, não o caminho de código. A prova que o auditor quer é a informação que o operador viu, não os passos que o operador deu. Uma gravação de uma revisão de acessos capta a lista de utilizadores como aparece no IDP, as atribuições de papel e as ações de desprovisionamento. Isso é a prova. A sequência de cliques é a SOP.

3. Exportar como PDF com a marca para o pacote de prova. A maioria das plataformas de auditoria recebe PDF ou HTML. O Capture e ferramentas similares exportam PDFs com marca, com datas, contagens de cliques e capturas passo a passo. O dono exporta cada guia como PDF e carrega para a pasta da auditoria. Sem compilação separada de prova.

O efeito de capitalização é a surpresa. A primeira auditoria pede mais trabalho porque a biblioteca está a ser construída. A segunda corre numa fração do tempo, porque a biblioteca existe, os donos conhecem o gesto, e o pacote de prova monta-se sozinho a partir da SOP em produção. Pesquisas da Nielsen Norman Group sobre como os utilizadores leem na web reforçam o ponto: ninguém lê uma SOP de quinze páginas, mas qualquer pessoa segue um guia visual de doze passos com capturas de ecrã.

Se a equipa ainda não escolheu a ferramenta de documentação para o esforço SOC 2, o comparativo das melhores alternativas ao Scribe em 2026 cobre os sete candidatos que os auditores veem mais vezes em pacotes de prova. Para perceber o argumento mais geral a favor dos guias passo a passo no contexto de conformidade, vale a pena ler o caso dos guias passo a passo.

05 · Secção

A checklist da semana de auditoria

À semana de auditoria, a biblioteca tem de responder a todas as perguntas-padrão de auditor sem que ninguém da liderança escreva conteúdo novo. A checklist abaixo é o que fecha a auditoria duas semanas antes do prazo.

  1. Cada controlo tem um dono nomeado nos metadados da SOP. O auditor pergunta "quem corre isto", a resposta lê-se no artefacto, não fica na cabeça de alguém.
  2. Cada SOP foi regravada ou atualizada nos últimos seis meses. Seis meses é o limite de frescura que o auditor espera. Mais velho que isso e o auditor empurra de volta.
  3. A execução mais recente tem data e cai no período auditado. Uma revisão de acessos do Q1 gravada em Q2 está bem. Uma gravação de janeiro sem atualização do Q3 não está.
  4. A SOP e a prova são o mesmo artefacto. O PDF no pacote de prova é o mesmo guia que a equipa usa para correr o processo. Sem desvio entre política e prática.
  5. Os metadados de gravação são auditáveis. Contagens de cliques, datas e áudio do narrador (quando pedido) são exportáveis. O auditor consegue verificar que a gravação vem do sistema real e não de uma reconstituição.
  6. A biblioteca de SOP tem uma página índice única. "Comece por aqui" é uma página real com vinte e uma entradas. O auditor pede a lista mestre, a equipa envia um URL.

A título de comparação, a semana de auditoria que não fecha a horas tem pelo menos quatro destes pontos em falta. Os mais comuns são os pontos 3 e 4 (frescura e paridade entre SOP e prova).

O resumo de três linhas que o COO da missão usou para enquadrar o esforço SOC 2: a responsabilidade é auditável, a prova de ecrã é auditável, regravar um passo é mais rápido do que reescrever uma página de wiki. Essas três linhas, aplicadas a vinte e um controlos, fecharam uma auditoria duas semanas antes da data prevista. Para os volumes de RGPD que se cruzam com o SOC 2 (registo de tratamentos, contratos com subcontratantes, exercícios de direitos), a mesma lógica aplica-se à letra do lado da CNPD e da Lei n.º 58/2019.

É a prova SOC 2 mais limpa que vi este ano. Um guia datado é prova. Uma página Notion é uma intenção.
Auditor SOC 2, missão fintech B2B Series A
FAQ

Perguntas frequentes.

O padrão funciona para SOC 2 Type 1 ou só para Type 2?

Funciona para os dois. O Type 1 é um teste num momento concreto, por isso as SOP precisam de estar gravadas à data do teste. O Type 2 é um teste de período, e é aí que o padrão de gravações datadas capitaliza: cada execução trimestral torna-se prova do período anterior e SOP para o seguinte. A maioria das equipas constrói a biblioteca para o Type 2 porque o investimento por controlo amortiza-se ao longo da janela auditada.

Em que difere isto de usar o Vanta, Drata ou Secureframe?

As plataformas de conformidade (Vanta, Drata, Secureframe) tratam dos templates de política, da monitorização de controlos e da recolha de prova a partir dos sistemas ligados (cloud, IDP, ticketing). Não geram as SOP. O método de gravação primeiro tapa exatamente esse buraco. As equipas costumam ter uma plataforma de conformidade para a monitorização e uma ferramenta de guias para as SOP, e as duas em conjunto produzem o pacote pronto para auditoria.

E para ISO 27001 ou HIPAA?

Mesmo padrão. A ISO 27001 é mais pesada em documentação do que o SOC 2, o que torna a abordagem por dono ainda mais rentável: a carga capitaliza com o número de controlos. O HIPAA tem um perímetro estreito mas o mesmo princípio de prova de execução. O método é agnóstico ao framework; o auditor preocupa-se com prova datada e rastreável, independentemente do referencial. Em Portugal, projetos que envolvam dados de saúde devem ainda olhar para os requisitos da CNPD e da Lei n.º 58/2019 sobre tratamento de categorias especiais.

Como é que se gere SOP que envolvem dados sensíveis (PII, dados financeiros)?

Duas abordagens. Primeira: redação. A maioria das ferramentas de guia permite desfocar ou mascarar zonas selecionadas do ecrã. No Capture, o dono coloca uma máscara na zona PII antes de publicar a gravação. Segunda: ambiente sandbox. Grava-se a SOP contra um ambiente de staging com dados sintéticos. Os auditores aceitam ambas as abordagens, desde que a SOP corresponda ao processo de produção e a redação ou o sandbox estejam documentados. Do lado do RGPD, a CNPD espera a mesma lógica para registos de tratamento e logs de acesso.

Quanto tempo demora a construir a biblioteca de raiz?

A fintech B2B portuguesa de 38 pessoas do estudo de caso produziu vinte e uma SOP em seis semanas, com um dono por SOP e uma sessão de gravação por dono por semana. O padrão escala: uma equipa de 60 pessoas com trinta SOP fecha na mesma janela de seis semanas, porque o trabalho é paralelo entre donos. O gargalo é a disponibilidade dos donos, não o tempo de gravação. A gravação em si demora vinte e cinco minutos na primeira tentativa e cai para dez minutos à terceira.

O próximo passo

As suas SOP já funcionam como prova de auditoria?

O Capture grava a SOP, capta a prova de ecrã e exporta um PDF com a marca para o pacote de auditoria. Extensão Chrome gratuita, sem registo. Cada dono grava uma vez, a biblioteca atualiza-se passo a passo.

Instalar a extensão Chrome
Continuar a ler
Documentação de fluxos de trabalho · Comparativo

Alternativa ao Tango para equipas de operações TI em 2026

Uma equipa de TI de uma scale-up de 220 pessoas transformou os vinte tickets recorrentes em guias Capture. O volume Tier-1 caiu 35% em oito semanas. O resto é a aritmética do lugar.

Documentação de processos · Guia prático

Como documentar o acolhimento de clientes em 2026

A maioria da documentação de acolhimento morre em oito semanas porque ninguém a volta a gravar quando a interface muda. A solução não passa por escrever melhor. Passa por um método recording-first que demora dez minutos por atualização.

Documentação de fluxos · Quadro

A regra dos 12 passos: porque o tamanho prediz o fracasso da documentação

Quase todas as equipas escrevem guias mais longos do que deviam. O tamanho joga contra a equipa, e 12 passos é o tecto operacional acima do qual a taxa de conclusão se desfaz.

Experimentar

Grave um workflow.

Extensão Chrome gratuita. Sem registo.

Adicionar ao Chrome Mais artigos