Auditor de Compliance
Controles SOX, ISO, SOC 2.
O Compliance Auditor é a persona que converte regulação em controles enforçáveis e evidência verificável. Em um SDLC AI-nativo, o Compliance Auditor opera um agente Evidence Curator, quatro slash prompts e um catálogo validado de MCPs abrangendo GitHub, Microsoft Purview e Azure Policy — não uma biblioteca de PDFs de atestação estáticos.
Resumo executivo
O Compliance Auditor é dono das obrigações de SOX, ISO 27001, SOC 2 e regulações setoriais para a entrega. Em um SDLC AI-nativo, o papel é operacionalizado através de um único agente Evidence Curator com quatro slash prompts (/control-check, /audit-pack, /policy-diff, /attestation-draft), instruções com escopo para arquivos de política e controle, e MCPs validados alcançando GitHub, Microsoft Purview, Azure Policy e Microsoft Sentinel.
As entregas primárias são controles verificados continuamente, pacotes de evidência prontos para auditoria, diffs de política vivos e rascunhos de atestação montados a partir de artefatos reais do pipeline. O Compliance Auditor substitui a “sprint de auditoria” por um ritmo diário, chato e produtor de evidências.
Compliance em um SDLC AI-nativo é um subproduto de bons pipelines, não um projeto separado. O Compliance Auditor projeta o subproduto.
Papel e responsabilidades
Pense no Compliance Auditor como um inspetor de obra que assina estágio a estágio em vez de apenas no final. Ele lê as plantas, verifica cada concretagem, cada fiação, cada acabamento — e quando a vistoria final acontece, não há surpresas. Em um SDLC AI-nativo, o Compliance Auditor inspeciona o pipeline em cada estágio inspecionando seus artefatos.
Responsabilidades primárias:
- Manter o catálogo de controles mapeando frameworks (SOX, ISO 27001, SOC 2) a artefatos do pipeline
- Rodar verificações contínuas de controle via GitHub Actions, Azure Policy e Microsoft Purview
- Montar pacotes de evidência prontos para auditoria sob demanda a partir de artefatos reais
- Rastrear mudanças de política com diffs aprovados por donos nomeados
- Redigir atestações e representações a partir de evidências, nunca de memória
- Operar o agente Evidence Curator e os prompts
/control-check,/audit-pack,/policy-diff,/attestation-draft - Coordenar com o InfoSec Officer em controles compartilhados e com o Jurídico em interpretação regulatória
- Revisar revisões de acesso no Microsoft Entra ID trimestralmente e em eventos de mudança de papel
Jobs to be done
- Como Compliance Auditor, eu quero cada controle mapeado a uma verificação em tempo real, para que “em conformidade” seja um estado contínuo, não um momento.
- Como Compliance Auditor, eu quero pacotes de evidência montados em minutos, para que auditores externos recebam o que precisam no mesmo dia.
- Como Compliance Auditor, eu quero mudanças de política revisadas como PRs, para que a trilha de quem-aprovou-o-quê seja verificável.
- Como Compliance Auditor, eu quero atestações redigidas a partir de evidências reais do pipeline, para que assinaturas reflitam a realidade.
- Como Compliance Auditor, eu quero exceções com prazo e rastreadas, para que nenhuma exceção se torne permanente por negligência.
- Como Compliance Auditor, eu quero rótulos de sensibilidade do Microsoft Purview enforçados em repositórios de código, para que obrigações de tratamento de dados sejam propagadas.
- Como Compliance Auditor, eu quero revisões de acesso do Entra ID agendadas automaticamente, para que revisões de mínimo privilégio nunca expirem.
- Como Compliance Auditor, eu quero um dashboard de postura único publicado no Microsoft Teams, para que a liderança tenha uma visão atual sem perguntar.
Dores antes do AI-nativo
- Sprint de auditoria. O trimestre termina com um mês de pânico montando artefatos, depois calmaria até o próximo trimestre.
- Evidência em screenshots. Pacotes de auditoria contêm screenshots que não podem ser verificados depois do fato.
- Políticas sombra. Times mantêm diretrizes privadas que divergem da política publicada.
- Exceções sem expiração. Exceções temporárias de três anos atrás ainda ativas hoje.
- Controles desconectados. Controles descritos em texto, não conectados a nenhum sistema que os enforça.
- Teatro de revisão de acesso. Revisões trimestrais de acesso aprovadas em massa sem inspeção.
- Drift de framework. Controles sobrepostos de SOX, ISO e SOC rastreados separadamente; trabalho duplicado, lacunas criadas.
Fluxo diário AI-nativo
O Compliance Auditor trabalha a partir do Visual Studio Code com GitHub Copilot e do Microsoft 365 (Teams, Loop, Purview) — invocando o agente Evidence Curator ao longo do dia.
Setup da manhã
- Abra o dashboard de compliance no Microsoft Loop; revise falhas de verificação de controle noturnas.
- Rode
/control-check --since=yesterdaypara identificar drift no catálogo de controles. - Revise alertas de revisão de acesso do Entra ID e aprovações pendentes.
- Verifique o Microsoft Purview para novas implantações de rótulos de sensibilidade ou mudanças de classificação.
- Poste o standup de compliance no Microsoft Teams com exceções abertas e itens expirando.
Execução no meio do dia
- Para cada PR de política, rode
/policy-diffpara gerar o diff revisável e relatório de impacto; encaminhe a donos nomeados para aprovação. - Para qualquer solicitação de auditor, invoque
/audit-packcom o escopo; o Evidence Curator monta artefatos do GitHub, Azure Policy, Defender for Cloud, Sentinel e Purview. - Redija atestações via
/attestation-draft; o Evidence Curator preenche URLs de evidência e sinaliza declarações sem suporte. - Triar verificações de controle falhando com o InfoSec Officer quando forem controles compartilhados.
Revisão no fim da tarde
- Percorra exceções expirando; estenda, substitua com uma correção ou feche.
- Atualize o catálogo de controles com qualquer novo mapeamento de mudanças recentes de arquitetura.
- Publique o score de postura diário no Microsoft Loop e fixe quaisquer itens vermelhos.
Primitivas recomendadas
Agente
| Agente | Arquivo | Propósito |
|---|---|---|
evidence-curator | .github/agents/evidence-curator.agent.md | Roda verificações de controle, monta pacotes de auditoria, diffa políticas, redige atestações |
Slash prompts
| Comando | Arquivo | Propósito |
|---|---|---|
/control-check | .github/prompts/control-check.prompt.md | Rodar a suíte contínua de controles e reportar drift |
/audit-pack | .github/prompts/audit-pack.prompt.md | Montar um pacote de evidência pronto para auditoria para um escopo |
/policy-diff | .github/prompts/policy-diff.prompt.md | Gerar diff e relatório de impacto para uma mudança de política |
/attestation-draft | .github/prompts/attestation-draft.prompt.md | Redigir uma atestação ou representação a partir de evidências reais |
Instruções com escopo
Escopo (applyTo) | Arquivo | Propósito |
|---|---|---|
docs/policies/**/*.md | .github/instructions/policy.instructions.md | Estrutura de documento de política, dono, cadência de revisão |
controls/**/*.yaml | .github/instructions/controls.instructions.md | Formato do catálogo de controles mapeando frameworks a artefatos |
attestations/**/*.md | .github/instructions/attestation.instructions.md | Seções obrigatórias de atestação e linkagem de evidência |
infra/**/*.bicep | .github/instructions/azpolicy.instructions.md | Padrões de Azure Policy e requisitos de tags |
Hooks
pre-commit: verificação de metadados de arquivo de política (dono, data de revisão)pre-push: subconjunto rápido de control-checkpost-merge: rodar a suíte completa de controles e atualizar o score de posturanightly: escanear exceções expirando e abrir lembreteson-access-review: gerar relatórios de revisão de acesso do Entra ID para donos nomeados
MCPs validados
| MCP | Propósito | Dono |
|---|---|---|
| GitHub MCP Server | Ler PRs, políticas, arquivos de controle, gerenciar issues | GitHub |
| Azure MCP Server | Consultar Azure Policy, Defender for Cloud, Sentinel, Entra ID | Microsoft |
| Microsoft Learn Docs MCP | Referenciar orientação atualizada de frameworks (SOX, ISO, SOC 2) | Microsoft |
| Azure DevOps MCP Server | Rastrear work items de remediação quando o time usa Azure DevOps | Microsoft |
| Playwright MCP | Capturar fluxos de evidência para controles voltados ao usuário | Microsoft |
Exemplos reais
Exemplo 1: auditoria SOC 2 em uma tarde
Um auditor solicita evidência para CC6.1 (acesso lógico) do Q2. O Compliance Auditor roda /audit-pack --control=cc6.1 --period=Q2. O Evidence Curator puxa revisões de acesso do Entra ID, atribuições do Azure Policy e proteções de branch do GitHub, empacotando-os com URLs rastreáveis. O pacote é entregue em três horas.
Exemplo 2: uma mudança de política revisada em público
O time Jurídico propõe uma nova cláusula de retenção de dados. A mudança abre como um PR. /policy-diff destaca serviços e rótulos do Purview afetados. Donos nomeados aprovam; o merge dispara definições atualizadas de Azure Policy e regras de rótulo do Purview. Um único workflow aterrissa mudanças jurídicas, de engenharia e de enforcement.
Exemplo 3: fechando uma exceção de três anos
Durante a noite, o scan de expiração de exceções identifica uma aprovação de 2022 ainda em vigor em uma assinatura Azure. /control-check confirma que o risco subjacente agora é mitigado por um novo controle. O Evidence Curator abre um PR removendo a exceção; aprovações fluem pela revisão padrão; a exceção desaparece.
Anti-padrões
- Evidência em screenshots. Screenshots envelhecem mal e não podem ser verificados; linke a fontes imutáveis.
- Pensamento de framework único. Mantenha um catálogo de controles unificado; mapeie cada controle a cada framework aplicável.
- Exceções silenciosas. Toda exceção tem um dono, expiração e controle compensatório registrados.
- Atestações por copy-paste. Redija a partir de evidências; nunca recicle o texto do ano passado.
- Política só no SharePoint. Políticas vivem no repositório, sob revisão, com donos nomeados.
- Revisões de acesso por aprovação em massa. Exija que revisores abram cada atribuição; o agente sinaliza aprovações obsoletas.
- Controles que não podem falhar. Um controle que sempre passa não é um controle; projete para modos de falha acionáveis.
KPIs e métricas de impacto
| Métrica | Linha base (manual) | Meta (agêntico) | Fonte |
|---|---|---|---|
| Cobertura de control-check | 50 por cento | 100 por cento | Catálogo de controles |
| Tempo de montagem de pacote de auditoria | 2 semanas | < 1 dia | Histórico de /audit-pack |
| Mudanças de política com diff + sign-off de dono | 60 por cento | 100 por cento | Revisões de PR no GitHub |
| Exceções expiradas ativas | 15 | 0 | Registro de exceções |
| Conclusão de revisão de acesso em dia | 70 por cento | 100 por cento | Entra ID |
| Retrabalho de atestação após submissão | 25 por cento | < 5 por cento | Correspondência de auditoria |
| Frescor do score de postura | Semanal | Diário | Dashboard do Loop |
Maturidade em quatro níveis
- L1 Manual: Políticas como PDFs, controles como planilhas, auditorias como sprints.
- L2 Assistido: Alguns controles conectados ao Defender for Cloud, mas evidência ainda montada manualmente no fim do trimestre.
- L3 Aumentado: Agente Evidence Curator, quatro slash prompts, instruções com escopo, pacotes de auditoria em horas.
- L4 Autônomo: Verificações contínuas de controle, score de postura diário, exceções expirando fechadas automaticamente, atestações redigidas a partir de evidências.
Integração com outras personas
- Com o InfoSec Officer: controles compartilhados, evidência conjunta de SBOM e modelo de ameaça.
- Do Software Architect: ADRs de arquitetura mapeados a controles no catálogo.
- Do Developer: metadados de PR alimentando evidência de gerenciamento de mudanças.
- Do Data Engineer: classificações do Microsoft Purview direcionando evidência de tratamento de dados.
- Do SRE: timelines de incidente e runbooks como evidência de resiliência operacional.
- Com o Jurídico: interpretação regulatória e mudanças de texto de política.
- Para o Product Owner: status de compliance em features antes do release.
Glossário
- Controle: uma regra verificável mapeando intenção regulatória a configuração de sistema ou processo.
- Pacote de evidência: um pacote de artefatos montado para provar que um controle estava operando em um período.
- Atestação: uma representação assinada, tipicamente por um oficial, de que controles específicos estão em vigor.
- Exceção: um desvio aprovado, com prazo e dono, de um controle ou política.
- Score de postura: um resumo numérico contínuo da saúde dos controles entre frameworks.
- Framework: um padrão regulatório ou da indústria como SOX, ISO 27001, SOC 2.
- Revisão de acesso: uma verificação periódica de que as permissões de cada identidade permanecem justificadas.
Referências
- Documentação do Microsoft Purview — gerenciamento de sensibilidade e compliance
- Documentação do Azure Policy — política como código
- Compliance regulatório do Microsoft Defender for Cloud — mapeamento de frameworks
- Revisões de acesso do Microsoft Entra ID — certificação periódica de acesso
- Log de auditoria e API do GitHub — evidência de gerenciamento de mudanças
- Microsoft Sentinel — evidência de incidentes e timelines
- Microsoft Learn Docs MCP — recuperação de orientação atualizada de frameworks
- GitHub Actions — orquestração de CI e deploy em todo o stack
- Microsoft Learn Docs MCP — recuperação de documentação first-party no momento da implementação
- GitHub Advanced Security — CodeQL, Dependabot, Secret Scanning, Push Protection