RESPOSTA RÁPIDA: SOC 2 é um relatório de atestação emitido por firma de auditoria independente (CPA) segundo os Trust Services Criteria do AICPA — não é um "certificado" que uma consultoria possa vender. A gestão de ativos entra principalmente no CC6.1 (controles de acesso lógico sobre os ativos de informação protegidos), no CC6.5 (descarte: só desativar proteções depois que os dados foram destruídos ou tornados irrecuperáveis) e no CC6.7 (movimentação de ativos). Evidências típicas: inventário completo e atualizado, atribuição de cada dispositivo a um responsável, termos de devolução, registros de baixa com sanitização e a conciliação periódica que prova que o inventário é mantido — no Type II, mantido durante TODO o período examinado, não só na foto inicial.
Empresas brasileiras que vendem tecnologia ou serviços para fora — SaaS com clientes nos EUA, BPOs que processam dados de multinacionais, fintechs integradas a parceiros globais — conhecem a cena: o contrato está praticamente fechado quando o time de procurement do cliente envia o questionário de segurança e pergunta pelo relatório SOC 2. A partir daí, o cronograma comercial passa a depender de um exame de auditoria. E um dos primeiros itens da lista de solicitações (a famosa PBC list — "provided by client") é invariavelmente o inventário de ativos: a lista do hardware, software e infraestrutura que sustenta o serviço examinado. Preparar essa base com antecedência — idealmente com um inventário de ativos de TI conciliado entre o físico, o lógico e o contábil — encurta meses de exame.
Vale fixar o vocabulário correto, porque ele protege a sua empresa de fornecedores que prometem o impossível: SOC 2 não é certificação — é um relatório de atestação (attestation report) emitido exclusivamente por firma de auditoria licenciada (CPA), sob as normas do AICPA. A CPCON não emite relatórios SOC 2 nem certifica controles — quem atesta é a firma de auditoria do seu cliente ou a contratada por você. O que entregamos, com 30 anos e mais de 4.500 projetos de inventário e auditoria de ativos, é a evidência de campo sobre os ativos: o inventário físico, a atribuição e a trilha de baixas que o auditor vai testar.
Onde os ativos entram nos Trust Services Criteria
Os Trust Services Criteria (TSC) organizam o exame em cinco categorias: segurança (obrigatória, com os critérios comuns CC1 a CC9), disponibilidade, integridade de processamento, confidencialidade e privacidade. A gestão de ativos não tem um capítulo próprio — ela permeia os critérios comuns da série CC6 (acesso lógico e físico) e aparece nos pontos de foco que os auditores usam para desenhar os testes.
| Critério | O que diz (em essência) | O que o auditor testa sobre ativos |
|---|---|---|
| CC6.1 | A entidade implementa controles de acesso lógico sobre os ativos de informação protegidos | Existe inventário dos ativos no escopo? Os acessos são concedidos sobre ativos conhecidos e classificados? |
| CC6.5 | Proteções lógicas e físicas só são descontinuadas após os dados serem destruídos ou tornados irrecuperáveis | Registros de baixa e descarte: sanitização/destruição de mídia documentada antes da alienação do ativo |
| CC6.7 | A entidade restringe a transmissão, movimentação e remoção de informações e ativos | Controle de movimentação: quem levou qual notebook, quando, com que autorização; ativos remotos rastreados |
| CC7.1 | Monitoramento para identificar mudanças e vulnerabilidades em ativos | Novos ativos entram no inventário e no escopo de patch/monitoramento sem atraso |
| A1.2 (disponibilidade) | Infraestrutura, dados e software são gerenciados para atingir os objetivos de disponibilidade | Inventário de infraestrutura crítica, redundâncias e ciclo de vida (fim de suporte, obsolescência) |
A leitura conjunta é clara: o inventário é a premissa dos testes. O auditor não consegue avaliar se o acesso lógico é restrito "aos ativos protegidos" sem saber quais são os ativos; não consegue testar descarte seguro sem a lista das baixas do período; não consegue avaliar movimentação sem saber o que existe e onde deveria estar.
Inventário como base do escopo (system description)
Todo relatório SOC 2 contém a "descrição do sistema" (system description), redigida pela empresa examinada: quais serviços, infraestrutura, software, pessoas, procedimentos e dados compõem o sistema que será examinado. É o inventário que delimita essa fronteira. Subestimar o escopo (esquecer servidores legados, ambientes de homologação que recebem dados reais, notebooks de suporte) gera dois riscos: o auditor encontra ativos não declarados durante os testes — minando a confiança em toda a descrição — ou o relatório sai com escopo furado e o cliente final percebe na due diligence.
- Comece pelo inventário físico validado: o que existe de verdade, onde está, quem usa — incluindo o que a ferramenta de discovery não enxerga (equipamento desligado, em estoque, sem agente).
- Concilie com o lógico (discovery, MDM, console de EDR) e com o contábil/CMDB: cada divergência é um furo de escopo em potencial.
- Classifique o que entra no sistema examinado e o que fica fora — com critério documentado, porque o auditor pergunta pelos dois lados da fronteira.
- Congele uma linha de base datada: ela ancora a system description e os testes de amostragem do período.
As evidências que o auditor tipicamente solicita
A lista varia por firma e por escopo, mas o bloco de gestão de ativos da PBC list costuma conter:
- Inventário completo de ativos (hardware, software, infraestrutura em nuvem) com data de atualização, owner e classificação — exportado do sistema de gestão de ativos ou CMDB.
- Atribuição por dispositivo: qual colaborador detém qual notebook/celular corporativo, com termo de responsabilidade ou registro equivalente.
- Amostra de admissões e desligamentos do período: evidência de entrega do equipamento no onboarding e de devolução no offboarding (data, estado, assinatura).
- Baixas documentadas: autorização da baixa, certificado de sanitização ou destruição de mídia, destino final (doação, venda, descarte ambiental) — encadeados por ativo.
- Evidência de verificação periódica: relatório de inventário físico ou contagem cíclica do período, com divergências e plano de tratamento.
- Política de gestão de ativos aprovada e comunicada (aquisição, uso aceitável, movimentação, devolução, descarte).
Repare no padrão: o auditor quase nunca pede "um documento" — pede a trilha. A baixa sem certificado de sanitização reprova no CC6.5; o desligamento sem registro de devolução reprova no CC6.1/CC6.7; o inventário sem verificação periódica vira "controle não operante". Empresas que tratam o parque de TI junto com o imobilizado têm vantagem aqui: a disciplina de eliminar ativos fantasmas e documentar baixas já produz metade da evidência.
Type I vs Type II: a diferença é a continuidade do inventário
A distinção entre os dois tipos de relatório muda completamente o esforço sobre o inventário:
| Aspecto | SOC 2 Type I | SOC 2 Type II |
|---|---|---|
| O que examina | Desenho dos controles em uma data específica (foto) | Desenho E eficácia operacional ao longo de um período (filme) |
| Período | Um ponto no tempo | Tipicamente 3 a 12 meses de observação |
| Inventário exigido | Inventário correto e completo na data | Inventário MANTIDO o período todo: cada admissão, transferência e baixa do período com evidência |
| Teste típico | O inventário existe e está atualizado? | Amostras ao longo do período: este notebook comprado em março entrou no inventário? Este desligamento de julho tem devolução registrada? |
| Valor de mercado | Aceito como primeiro passo | É o que clientes enterprise efetivamente exigem na due diligence |
É por isso que "arrumar o inventário na véspera" funciona (mal) para um Type I e não funciona para o Type II: no Type II, o auditor seleciona eventos espalhados pelo período — uma compra de fevereiro, um desligamento de junho, uma baixa de setembro — e cobra a evidência de cada um. Sem processo contínuo, as lacunas aparecem como exceções no relatório, visíveis para todo cliente que o ler.
Como empresas brasileiras caem em SOC 2 (e por onde começar)
O gatilho raramente é regulatório — é comercial. Os caminhos mais comuns: o cliente americano exige SOC 2 Type II como condição de contrato ou renovação; o parceiro de integração (marketplace, plataforma de pagamentos) exige dos participantes; o investidor pede na due diligence; ou a empresa decide antecipar-se para destravar o funil enterprise. Em todos os casos, a sequência prática é a mesma: definir escopo, fechar os gaps de controle e só então contratar a firma de auditoria. Para quem também atende requisitos de ISO 27001 — frequentemente exigidos em paralelo —, há forte sobreposição: o mesmo inventário de ativos com owners e ciclo de vida alimenta o controle A.5.9 da ISO 27001 e os critérios CC6 do SOC 2.
Preparação do bloco de ativos para um SOC 2 (roteiro prático)
- 1Execute um inventário físico in loco do parque que sustenta o serviço — incluindo estoque, equipamentos desligados e dispositivos remotos — e etiquete cada item.
- 2Concilie físico × discovery/MDM × contábil e trate as divergências (fantasmas, não registrados, atribuições erradas).
- 3Formalize atribuição: termo de responsabilidade por dispositivo, processo de onboarding/offboarding com devolução registrada.
- 4Implante o fluxo de baixa com sanitização documentada (certificado por mídia) antes de qualquer alienação.
- 5Estabeleça verificação periódica (contagem cíclica trimestral ou semestral) e guarde os relatórios — eles são a evidência da operação contínua no Type II.
- 6Só então defina com a firma de auditoria a janela do Type II — iniciar o período de observação com o inventário maduro evita exceções no relatório.
O auditor vai pedir a trilha — tenha a evidência pronta
A CPCON executa inventário físico, etiquetagem, atribuição e conciliação do seu parque de TI, com relatório auditável e trilha de baixas. Quem atesta o SOC 2 é a firma de auditoria; nós entregamos a evidência de campo sobre os seus ativos — com 30 anos de experiência e mais de 4.500 projetos de inventário e auditoria.
Solicitar Diagnóstico do Parque de TIInventário físico in loco · Conciliação física × lógica × contábil · Trilha de baixas documentada
Perguntas Frequentes
SOC 2 é uma certificação?
O que é o critério CC6.1 do SOC 2?
Qual a diferença entre SOC 2 Type I e Type II para o inventário de ativos?
Que evidências de gestão de ativos o auditor de SOC 2 costuma pedir?
Por que empresas brasileiras precisam de SOC 2?
SOC 2 substitui a ISO 27001 (ou vice-versa)?
Artigos Relacionados
ISO 27001: o Controle A.5.9 (Inventário de Ativos) na Prática
Ler artigo
LGPD e Mapeamento de Ativos: Onde Seus Dados Pessoais Realmente Moram
Programas de adequação à LGPD costumam mapear sistemas e processos — e esquecer o substrato físico onde os dados pessoais de fato residem: servidores, notebooks, discos externos, fitas de backup, impressoras multifuncionais com disco rígido, equipamentos legados e máquinas descartadas sem sanitização. O registro das operações de tratamento (art. 37) e as medidas de segurança (art. 46) só são defensáveis quando o mapa de dados está ancorado num mapa de ativos confiável. Este guia mostra como ligar as duas pontas — e onde mora o risco que quase ninguém inventaria: o ativo baixado.
Ler artigo
Shadow IT e BYOD: o Inventário que Sua Empresa Não Sabe que Tem
Ler artigo
Ativos Fantasmas: Como Identificar e Eliminar
Ler artigo
Tipos de Inventário: Físico, Rotativo, Cíclico e com RFID
Ler artigoEquipe CPCON
Consultoria Patrimonial | Grupo CPCON
A equipe técnica da CPCON Brasil (grupocpcon.com) executa inventário físico, etiquetagem e conciliação de ativos de TI e patrimônio há 30 anos, com mais de 4.500 projetos no Brasil e no exterior — gerando a evidência de campo que auditorias de segurança da informação e auditorias contábeis examinam.
Nota de transparência: Este artigo reflete a experiência prática da equipe CPCON. Recomendamos validar decisões contábeis e fiscais com seu auditor ou contador responsável.
Precisa de Apoio Especializado?
30 anos de história e 4.500 projetos realizados a serviço da sua empresa.