A separação de funções, conhecida como SoD (do inglês “Segregation of Duties”), constitui um pilar fundamental nas estratégias de gestão de riscos de qualquer organização.
Um estudo de 2022 divulgado pela Association of Certified Fraud Examiners (ACFE) revela que as empresas enfrentam perdas médias de cerca de US$ 1.783.000 por cada incidente de fraude perpetrada por funcionários.
Este dado salienta a necessidade imperativa de as empresas modernas adotarem uma gestão de risco robusta e sustentável, especialmente num contexto de crescente sofisticação de fraudes, esquemas e erros.
O SoD surge como uma ferramenta para controlar, gerir e até mesmo mitigar esses riscos, promovendo controles organizacionais mais eficazes, maior segurança e uma cultura de consciencialização.
Neste artigo, exploraremos em detalhe o conceito de SoD, a sua importância e outras terminologias relevantes a ele associadas.
Prepare-se para retomar o controlo da sua organização!
O que é Separação de Funções?
A separação de funções (SoD) é um princípio vital no âmbito da gestão de riscos e dos controlos internos organizacionais. Este princípio preconiza que diferentes partes de uma tarefa sejam executadas por mais do que um indivíduo. O seu objetivo principal é prevenir o uso indevido de informações, fraudes, roubos e outros riscos relacionados com a segurança.
Embora uma tarefa possa ser teoricamente executada por uma só pessoa, a sua divisão em partes garante que nenhum indivíduo detenha controlo exclusivo ou poder excessivo que possa ser utilizado de forma indevida para fins não autorizados ou atividades fraudulentas. Pelo contrário, o controlo é distribuído por, pelo menos, dois indivíduos.
Atualmente, o SoD é aplicado em diversos setores, como contabilidade, finanças, processamento de salários e administração, entre outros. Na esfera política, este princípio manifesta-se na separação de poderes nas democracias, onde o governo se divide em poderes judicial, executivo e legislativo.
SoD na Gestão de Riscos
O SoD assenta no princípio da partilha de responsabilidades, defendendo que a gestão de uma organização ou negócio não deve ser da incumbência de um único indivíduo. A confiança depositada numa única pessoa para executar uma tarefa, sem supervisão, pode conduzir a fraudes, erros ou prejuízos à reputação da empresa.
De facto, o SoD constitui um elemento indispensável na gestão de riscos e na garantia da conformidade com regulamentações como a Lei Sarbanes-Oxley de 2002 (SOX).
Ao distribuir responsabilidades entre vários funcionários, a probabilidade de um funcionário ou terceiro:
- Fazer uso indevido de informações confidenciais da organização
- Desviar fundos
- Falsificar registos (como os financeiros) para enganar as partes interessadas ou manipular o preço das ações
- Iniciar campanhas de retaliação após alegados maus-tratos
- Envolver-se em espionagem corporativa
Sem uma estratégia de segurança como o SoD, a organização corre o risco de sofrer perdas significativas a nível financeiro, penalizações por incumprimento e danos à imagem da marca. A implementação do SoD é, por isso, altamente recomendada, desde os departamentos de contabilidade e processamento de salários até aos departamentos de tecnologia da informação (TI) e segurança cibernética.
Exemplos de SoD
Vejamos alguns exemplos práticos da aplicação do SoD.
Contabilidade
Na contabilidade, as organizações devem impedir que um único indivíduo concentre poder excessivo que lhe permita ocultar ativos e erros financeiros.
O SoD exige uma análise rigorosa de todas as funções contabilísticas da organização, separando-as de modo a que nenhuma pessoa detenha controlo total sobre uma determinada função. Por exemplo, não se deve permitir que a mesma pessoa receba e registe os cheques recebidos.
TI e Cibersegurança
As políticas de SoD são cruciais para mitigar riscos de controlo de acesso no departamento de TI. Ao separar as tarefas do fluxo de trabalho, assegura-se que o mesmo grupo ou indivíduos não recebem múltiplas permissões de acesso.
O acesso indevido a poderes para além das suas funções pode levar um indivíduo a fazer mau uso dessas permissões, expondo informações a terceiros ou concedendo-lhes acesso indevido, sem que mais ninguém esteja ciente.
Esta situação pode ser catastrófica. Por exemplo, a mesma pessoa não deve receber alertas dos sistemas de segurança e, simultaneamente, gerir as permissões de acesso a esses sistemas.
Conformidade e Controlos
A implementação de estratégias sólidas de SoD pode ajudar a eliminar erros cometidos por funcionários, tanto intencionais como não intencionais. Permite, igualmente, detetar registos fraudulentos. Desta forma, a organização fica protegida contra violações de conformidade. Por exemplo, a mesma pessoa não deve ser responsável pelo registo de informações financeiras e, ao mesmo tempo, pela sua auditoria.
Outros exemplos
A mesma pessoa não deve ser responsável por:
- Criar e aprovar pedidos de requisição
- Criar e aprovar faturas de fornecedores
- Preparar a fatura e inserir transações de vendas no razão
- Efetuar pagamentos de salários e contratar funcionários
- Registar o dinheiro recebido e emitir notas de crédito
- Negociar ações e gerir fusões e aquisições
- Configurar compradores e aprovar requisições ou ordens de compra
Vantagens do SoD
A aplicação do SoD oferece diversas vantagens à organização:
#1. Prevenção e Deteção de Fraudes
As organizações estão, cada vez mais, a ser vítimas de fraude, incluindo atividades como a alteração de cheques, desvio de fundos, apropriação indevida de ativos, falsificação de documentos, recibos e faturas fraudulentos, erros de registo contabilístico e muito mais.
O SoD garante que nenhuma pessoa ou grupo seja responsável por executar todas as funções associadas a uma determinada tarefa. Esta medida reduz a oportunidade de cometer e ocultar fraudes. O envolvimento de mais pessoas numa tarefa aumenta a probabilidade de deteção, comunicação e prevenção de fraudes externas ou internas.
#2. Redução de Erros Humanos
A implementação correta do SoD permite reduzir significativamente erros humanos e riscos associados em processos financeiros críticos, como a documentação insuficiente de transações, falta de pessoal na contabilidade, erros de entrada de dados e auditorias negligentes.
O envolvimento de vários indivíduos em transações críticas aumenta a probabilidade de deteção e resolução de erros.
#3. Auditorias Aprimoradas
A redução de riscos e erros promovida pelo SoD melhora a qualidade da manutenção de registos nos departamentos de finanças, processamento de salários, contabilidade, TI e segurança cibernética. O SoD ajuda a organizar os registos de forma adequada, eliminando problemas como a duplicação, multas por atraso e riscos de conformidade.
A organização estará, assim, mais bem preparada para auditorias anuais, semestrais ou trimestrais, aumentando a confiança no cumprimento das regulamentações e evitando penalidades.
#4. Aumento da Eficiência
Embora possa parecer que a adição de mais funções leve a ineficiências e custos mais elevados, o SoD, quando bem planeado, promove a eficiência. Ao dividir uma tarefa em várias subtarefas, cada uma executada por um indivíduo especializado, a precisão e velocidade de execução aumentam.
Esta abordagem não só reduz os riscos, como também aumenta a eficiência global, comparativamente à situação em que uma única pessoa tem de realizar toda a tarefa. Além disso, o custo dos danos para a empresa, na ausência do SoD, é muito superior ao investimento na contratação de mais pessoal.
Terminologias Relacionadas com o SoD
Para uma compreensão mais profunda do SoD, é importante conhecer algumas terminologias:
#1. Conflitos SoD
Um conflito SoD surge quando um indivíduo atua contra os interesses da organização, colocando os seus próprios interesses em primeiro lugar. Isso acontece quando uma pessoa acumula vários papéis que lhe permitem desempenhar diversas funções importantes num processo, comprometendo a integridade do processo e da empresa.
Conflitos de SoD podem ocorrer em diversas áreas da organização, como o ciclo Order to Cash (O2C) ou Purchase to Pay (P2P). Para mitigar estes conflitos, é necessário analisar e avaliar todos os incidentes. As organizações devem, também, implementar controlos robustos para se protegerem de funcionários que se envolvam em atividades ilícitas.
Uma boa estratégia para evitar conflitos de SoD é a aplicação de controlos de acesso baseados em função (RBAC) em toda a organização. O RBAC assegura que as permissões e controlos de acesso são concedidos aos utilizadores com base nas suas funções e responsabilidades na organização, e não em excesso.
É fundamental designar um indivíduo autorizado para analisar cada função e permissão de acesso atribuída, identificando possíveis sobreposições de SoD entre funções e entre indivíduos.
Nem todos os conflitos resultam necessariamente em danos ou atividades ilegais. Um utilizador pode cometer um conflito acidentalmente, por descuido, ou ao executar uma função necessária para a empresa que exige permissões adicionais.
Por este motivo, as empresas devem analisar minuciosamente cada caso e avaliar as suas políticas de violação de SoD, para assegurar que os conflitos não se transformam em fraudes ou atividades ilegais.
#2. Violação de SoD
Ocorre uma violação de SoD quando um funcionário de uma organização explora a sua função atribuída para aceder intencionalmente a informações ou realizar atividades proibidas, violando políticas internas ou regulamentos externos da organização.
Os funcionários podem cometer uma violação de SoD quando assumem o controlo sobre múltiplas etapas de um processo, excedendo as suas atribuições permitidas. Em seguida, fazem um uso indevido do acesso para seu benefício.
Exemplo: uma empresa pode definir uma política segundo a qual a pessoa responsável pela contratação de funcionários não pode ser a mesma que distribui os seus recibos de salário. Se esta pessoa realizar ambas as atividades, pode manipular o sistema em seu próprio benefício e orquestrar fraudes ou atividades ilegais. Isso constitui uma violação de SoD.
Este é um exemplo de violação interna de SoD. Vejamos como pode ocorrer uma violação externa de SoD. Por exemplo, um tomador de decisão sénior, como o CEO de uma organização, manipula demonstrações financeiras, violando os regulamentos da SOX.
Esta situação pode levar a multas elevadas para a organização e até penas de prisão para o funcionário. É prejudicial para a organização, tanto em termos de reputação como de custos.
Para mitigar as violações de SoD, a organização deve monitorizar as suas violações e a atividade de cada funcionário, atualizando continuamente as suas políticas com as mudanças tecnológicas.
#3. Matriz SoD
A matriz SoD é uma ferramenta que os gestores utilizam para simplificar a gestão da complexidade do SoD. Permite distinguir diferentes responsabilidades, papéis e riscos na organização.
Além disso, a matriz SoD ajuda a detetar potenciais conflitos na organização, permitindo a sua resolução atempada e oferecendo segurança contra danos graves.
As matrizes SoD são geradas automaticamente em empresas modernas que utilizam software ERP, com base nas tarefas e funções de cada utilizador.
Neste contexto, cada tarefa deve corresponder a um processo específico num determinado fluxo de trabalho de transação, agrupando tarefas e funções, para garantir que nenhum utilizador tenha permissão para executar mais do que uma etapa no fluxo de trabalho.
Uma matriz SoD pode ser representada graficamente, com as funções dos utilizadores em ambos os eixos (X e Y), para identificar conflitos de SoD. Esta ferramenta mapeia os deveres e atividades para papéis num fluxo de trabalho, permitindo às equipas de conformidade separar responsabilidades incompatíveis.
Pode criar uma matriz SoD utilizando um software como o MS Excel ou manualmente em papel. Também é possível utilizar uma ferramenta ERP.
Exemplo: Segue-se um exemplo de como criar uma matriz SoD para o processamento de salários de um funcionário. Pode utilizar qualquer simbologia (sim/não, bandeiras, setas coloridas, etc.) para representar funções e responsabilidades. Vamos usar S/N no gráfico seguinte.
| Processo | Integração de funcionários | Criação de contracheques | Liquidação de pagamentos | Gestão de benefícios |
| Integração de funcionários | 1 | N | N | N |
| Criação de contracheques | 2 | N | S | N |
| Liquidação de pagamentos | 3 | N | S | N |
| Gestão de benefícios | 4 | N | N | S |
No exemplo acima, o funcionário 2 tem permissão para criar contracheques e liquidá-los. Portanto, não deve alterar os benefícios ou contratar funcionários. Se o fizer, pode surgir um conflito de SoD. Da mesma forma, o funcionário 1 é responsável pela contratação de novos funcionários e, por isso, não deve criar contracheques, gerir benefícios ou liquidar pagamentos. Caso contrário, pode ocorrer um conflito de SoD.
Como implementar o SoD
Se pretende implementar o SoD na sua organização, mas não sabe por onde começar, siga os seguintes passos:
Definir Processos e Políticas Organizacionais
Em primeiro lugar, defina todos os principais processos organizacionais pelos quais os funcionários são responsáveis. Essa definição deve basear-se no tamanho da sua organização e no setor em que opera. Após definir cada processo e tarefa, liste também as suas políticas, tanto para os seus funcionários internos como para os fornecedores externos e outras entidades com as quais colabora.
Por exemplo, no departamento de RH, pode listar tarefas como a contratação e integração de funcionários, a criação de benefícios e remunerações, a liquidação de pagamentos e a manutenção de registos. No departamento de contabilidade, pode listar tarefas como a confirmação da entrega de produtos, a revisão de faturas, a assinatura de cheques e o pagamento de faturas.
Além disso, deve definir as políticas criadas para os seus departamentos e funcionários. Por exemplo, um funcionário que emite um pagamento não deve ser o mesmo que assina os cheques. Outro exemplo poderia ser: o funcionário responsável pela venda de um produto não deve confirmar a sua entrega.
Criar uma Matriz SoD
Depois de definir as tarefas e políticas, deve criar uma matriz SoD para listar todas as funções e tarefas. Isso ajudará a identificar os funcionários responsáveis por cada tarefa e a detetar possíveis conflitos ou violações de SoD.
O gráfico acima pode servir de base para criar a matriz SoD da sua organização. No entanto, por vezes, é difícil detetar conflitos de SoD, especialmente quando as representações não correspondem adequadamente às tarefas. Para contornar esta dificuldade, pode adotar uma de duas abordagens ao criar uma matriz SoD:
Definir claramente todas as tarefas e rotular cada conflito de SoD: resulta numa matriz grande, mas oferece maior precisão na representação visual de tarefas e funções.
Omitir algumas tarefas ou agrupá-las: resulta numa matriz condensada, fácil de analisar, com foco nos conflitos de SoD. No entanto, esta abordagem pode levar a falsos positivos e erros que afetam os resultados e conflitos de SoD.
Atribuir Tarefas
Depois de detetar todos os conflitos de SoD, comece a atribuir tarefas e subtarefas aos funcionários, seguindo o princípio da separação de funções. Caso se depare com uma situação em que não é possível aplicar o SoD, desenvolva um sistema sólido de controlo e monitorização do funcionário que executa a tarefa, para impedir qualquer risco.
Gerir e Rever
É fundamental monitorizar e rever regularmente as tarefas e funções para garantir a eficácia da implementação do SoD e detetar potenciais conflitos ou violações. Se detetar algum problema, deve gerir as funções e tarefas, realocando-as. Mantenha uma monitorização contínua para prevenir riscos.
Conclusão
A separação de funções (SoD) constitui uma ferramenta valiosa para gerir os controlos internos e prevenir fraudes e erros. Ao evitar a concentração excessiva de poder numa só pessoa, o SoD contribui para a segurança organizacional, prevenindo fugas de dados, fraudes e outras atividades ilícitas. Implemente o SoD na sua organização, para garantir um ambiente seguro e vigilante.
Explore, igualmente, as ferramentas de deteção e prevenção de fraudes para empresas online.