Segregação de funções (SoD): Itens chave que você precisa saber - Protiviti
Segregação de funções (SoD): Itens chave que você precisa saber
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Segregação de funções (SoD): Itens chave que você precisa saber

    Publicado em: 4 de setembro de 2024

    Por Solimar Maia

    A segregação de funções (SoD) é um conceito importante para estruturas de controle interno, relatórios financeiros e conformidade regulatória, incluindo a Lei Sarbanes-Oxley (SOX). É um componente de um ambiente de controle eficaz. A eficácia geral da gestão dos controles internos depende em grande parte de uma divisão adequada de responsabilidades.

    O fundamento básico da SoD é que nenhum funcionário ou grupo de funcionários deve estar em posição de executar incorretamente ou com má intenção uma atividade e ocultar erros por fraude no curso normal de suas funções. Em geral, as principais funções incompatíveis a serem segregadas são:

    Os sistemas tradicionais de controle interno dependem da atribuição de certas responsabilidades a diferentes indivíduos, ou seja, da segregação de funções incompatíveis entre colaboradores de uma mesma equipe ou equipes distintas. A premissa geral da SoD é impedir que uma pessoa tenha, simultaneamente, autorização para gestão de ativos (por exemplo, cadastro de dados mestres) e a contabilização destes. Porém, é importante ter em mente para que a SoD não impede o conluio entre colaboradores com estas funções.

    Por que a SoD é importante?

    A SoD ajuda a minimizar o risco e a possibilidade de uma organização não atingir seus objetivos, fornecer dados financeiros confiáveis e/ou cumprir leis e políticas definidas. Erros administrativos ou outros erros de registro podem não ser detectados em tempo hábil, se não houver uma rotina estabelecida de revisão independente/objetiva das transações. Desta forma, transações inadequadas, ou não autorizadas (fraudulentas) são permitidas, uma vez que o indivíduo controla a maior parte da receita, despesa, folha de pagamento ou outras funções.

    A SOX e outras questões regulatórias estão forçando as empresas a aumentarem sua conscientização e responsabilidade sobre as ações de seus funcionários dentro da empresa. As recentes leis de privacidade e processos judiciais contra violações de segurança estão trazendo uma nova conscientização para monitorar e controlar a segurança e o acesso aos dados dentro das organizações.

    Qual é o risco?

    Segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes resultando em demonstrações financeiras distorcidas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores.

    Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para furtá-la por meio de atividades fraudulentas.

    Se os controles internos não são confiáveis, faz-se necessário o aumento dos testes substantivos da auditoria interna e do auditor externo, traduzindo-se em custos adicionais para a organização. Diante de descobertas mais graves, o auditor externo poderá concluir que a empresa possui uma deficiência significativa ou uma fraqueza material.

    Veja também: IAM Tech Day – Cadeia de Valor de IAM e SoD

    Por fim, na ausência da SoD, é questionada a confiabilidade das informações e evidências obtidas – livres de erros ou distorção relevante. Como resultado, o auditor pode aumentar o tamanho da amostra, reduzir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.

    A SoD deve ser proporcional ao tamanho, complexidade e risco geral das operações de uma empresa e das demonstrações financeiras. É importante sempre priorizar os riscos para a organização. As empresas continuam a aumentar a dependência da TI, tornando a SoD cada vez mais importante nos esforços para reduzir fraudes e aumentar a eficácia operacional.

    Em última instância, diante da inviabilidade de aplicação da SoD, deve-se implementar controles para mitigar os riscos resultantes da falta de segregação adequada de funções. Esses controles incluem trilhas de auditoria, reconciliações, alçadas de aprovação preventivas configuradas em sistemas e/ou revisões detectivas de registros, revisão de aprovadores e outros.

    Originalmente publicado em KnowledgeLeader por Protiviti Inc. Traduzido e adaptado por Solimar Maia, Consultora Sr. em Tech Governance da Protiviti Brasil.

    Solimar Maia

    Consultora Sênior em Tech Governance na Protiviti Brasil.

    Compartilhe:

    Publicações relacionadas

    Além das senhas: como a autenticação reforça a postura de Segurança Cibernética

    24 de maio de 2024

    É indispensável reconhecer e mitigar os riscos associados à autenticação fraca na proteção das informações e ativos das organizações.

    Leia mais

    A importância da proteção de identidades e acessos

    22 de maio de 2024

    A proteção de identidade e acessos é parte fundamental do processo de fortalecer a segurança da sua empresa.

    Leia mais

    Lições do Pró-Ética: como promover programas de Compliance efetivos por meio de auditorias, controles internos e tecnologia? 

    22 de fevereiro de 2024

    A Controladoria-Geral da União (CGU) divulgou recentemente as 84 organizações reconhecidas na edição 2022-2023 do Empresa Pró-Ética, programa que incentiva as companhias a combaterem a corrupção.   O recebimento deste selo é um reconhecimento valorizado no mercado, uma vez que identifica empresas que possuem programas de Compliance efetivos, e que trabalham promovendo a cultura de […]

    Leia mais

    Vazamento de informações: falha na proteção dos dados ou falta de gestão dos acessos internos? 

    8 de novembro de 2023

    O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar

    Leia mais