A segregação de funções (SoD) é um conceito importante para estruturas de controle interno, relatórios financeiros e conformidade regulatória, incluindo a Lei Sarbanes-Oxley (SOX). É um componente de um ambiente de controle eficaz. A eficácia geral da gestão dos controles internos depende em grande parte de uma divisão adequada de responsabilidades.
O fundamento básico da SoD é que nenhum funcionário ou grupo de funcionários deve estar em posição de executar incorretamente ou com má intenção uma atividade e ocultar erros por fraude no curso normal de suas funções. Em geral, as principais funções incompatíveis a serem segregadas são:
- A custódia de ativos
- A autorização ou aprovação de transações relacionadas que afetem esses ativos
- O registro ou divulgação de transações relacionadas
Os sistemas tradicionais de controle interno dependem da atribuição de certas responsabilidades a diferentes indivíduos, ou seja, da segregação de funções incompatíveis entre colaboradores de uma mesma equipe ou equipes distintas. A premissa geral da SoD é impedir que uma pessoa tenha, simultaneamente, autorização para gestão de ativos (por exemplo, cadastro de dados mestres) e a contabilização destes. Porém, é importante ter em mente para que a SoD não impede o conluio entre colaboradores com estas funções.
Por que a SoD é importante?
A SoD ajuda a minimizar o risco e a possibilidade de uma organização não atingir seus objetivos, fornecer dados financeiros confiáveis e/ou cumprir leis e políticas definidas. Erros administrativos ou outros erros de registro podem não ser detectados em tempo hábil, se não houver uma rotina estabelecida de revisão independente/objetiva das transações. Desta forma, transações inadequadas, ou não autorizadas (fraudulentas) são permitidas, uma vez que o indivíduo controla a maior parte da receita, despesa, folha de pagamento ou outras funções.
A SOX e outras questões regulatórias estão forçando as empresas a aumentarem sua conscientização e responsabilidade sobre as ações de seus funcionários dentro da empresa. As recentes leis de privacidade e processos judiciais contra violações de segurança estão trazendo uma nova conscientização para monitorar e controlar a segurança e o acesso aos dados dentro das organizações.
Qual é o risco?
Segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes resultando em demonstrações financeiras distorcidas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores.
Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para furtá-la por meio de atividades fraudulentas.
Se os controles internos não são confiáveis, faz-se necessário o aumento dos testes substantivos da auditoria interna e do auditor externo, traduzindo-se em custos adicionais para a organização. Diante de descobertas mais graves, o auditor externo poderá concluir que a empresa possui uma deficiência significativa ou uma fraqueza material.
Veja também: IAM Tech Day – Cadeia de Valor de IAM e SoD
Por fim, na ausência da SoD, é questionada a confiabilidade das informações e evidências obtidas – livres de erros ou distorção relevante. Como resultado, o auditor pode aumentar o tamanho da amostra, reduzir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
A SoD deve ser proporcional ao tamanho, complexidade e risco geral das operações de uma empresa e das demonstrações financeiras. É importante sempre priorizar os riscos para a organização. As empresas continuam a aumentar a dependência da TI, tornando a SoD cada vez mais importante nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Em última instância, diante da inviabilidade de aplicação da SoD, deve-se implementar controles para mitigar os riscos resultantes da falta de segregação adequada de funções. Esses controles incluem trilhas de auditoria, reconciliações, alçadas de aprovação preventivas configuradas em sistemas e/ou revisões detectivas de registros, revisão de aprovadores e outros.
–
Originalmente publicado em KnowledgeLeader por Protiviti Inc. Traduzido e adaptado por Solimar Maia, Consultora Sr. em Tech Governance da Protiviti Brasil.
Solimar Maia
Consultora Sênior em Tech Governance na Protiviti Brasil.
