A segregação de funções (SoD) é um elemento crucial nas estratégias de gerenciamento de riscos de uma organização.
Um relatório de 2022 da Association of Certified Fraud Examiners (ACFE) destaca que as empresas arcam com perdas de aproximadamente US$ 1.783.000 por caso de fraude de funcionários.
Isso explica por que as empresas modernas precisam ter um gerenciamento de risco sustentável nesta era de aumento de fraudes, golpes e erros.
E o SoD visa controlar, gerenciar e até mitigar esses riscos para ter melhores controles organizacionais com maior segurança e conscientização.
Neste artigo, discutirei o que é SoD, sua importância e outras terminologias importantes associadas a ele.
Então, vamos começar e aprender como retomar o controle!
últimas postagens
O que é Segregação de Tarefas?
A segregação de funções (SoD) é um conceito importante de gerenciamento de riscos e controles internos de uma organização em que mais de um indivíduo é responsável por concluir as diferentes partes de uma tarefa. Ele é implementado para evitar o uso indevido de informações, fraude, roubo e outros riscos relacionados à segurança.
A tarefa, porém, pode ser concluída por uma pessoa, mas é dividida em partes. Isso ajuda a garantir que nenhum indivíduo tenha controle exclusivo da tarefa ou controles excessivos, o suficiente para fazer uso indevido do controle para fins não autorizados ou atividades fraudulentas. Em vez disso, será compartilhado por pelo menos dois indivíduos.
Hoje, SoD é implementado em vários domínios, como contabilidade, finanças, folha de pagamento, administração, etc. Na política, torna-se a separação de poderes nas democracias onde o governo é dividido em judiciário, executivo e legislativo.
SoD em Gestão de Riscos
A SoD trabalha com o princípio de responsabilidades compartilhadas e que administrar uma organização ou negócio não deve ser tarefa de um único indivíduo. Você não deve confiar em uma única pessoa para obter controle total para executar uma tarefa que pode levar a fraudes, erros ou danos à reputação de sua empresa.
Na verdade, o SoD é um elemento vital do gerenciamento de riscos e da conformidade empresarial com regulamentações como a Lei Sarbanes-Oxley de 2002 (SOX).
A segregação de funções entre vários funcionários responsáveis reduz as chances de um funcionário ou terceiro de:
- Uso indevido de informações confidenciais organizacionais
- Roubar fundos
- Falsificar registros (como finanças) para enganar as partes interessadas ou inflar os preços das ações
- Lançar uma campanha de vingança após receber supostos maus-tratos
- Envolvimento em espionagem corporativa
E se você não empregar uma estratégia segura como SoD, isso pode levar a danos significativos à sua organização em termos financeiros, penalidades baseadas em conformidade e imagem da marca. É por isso que é recomendável implementar SoD em uma empresa, desde contabilidade e folha de pagamento até departamentos de tecnologia da informação (TI) e segurança cibernética.
Exemplos de SoD
Vejamos alguns dos exemplos onde você pode aplicar o SoD.
Contabilidade
Na contabilidade, as organizações podem proibir que pessoas solteiras ganhem poder excessivo para ocultar ativos e erros financeiros.
O SoD exigirá que você analise minuciosamente todas as funções contábeis em sua organização e separe as funções para que a mesma pessoa não possa ter o controle total de uma determinada função. Por exemplo, não se deve permitir que a mesma pessoa receba os cheques e registre os cheques recebidos.
TI e cibersegurança
As políticas de SoD podem ajudar a evitar riscos de controle de acesso no departamento de TI. Você separa as tarefas do fluxo de trabalho, garantindo que o mesmo grupo ou pessoas não recebam várias permissões de acesso.
Se uma única pessoa obtiver acesso ao poder além de seus deveres, ela poderá fazer mau uso dele e expor informações a terceiros ou conceder-lhes permissão de acesso. Ao mesmo tempo, ninguém mais tem ideia disso.
Esta situação pode ser catastrófica. Por exemplo, a mesma pessoa não deve receber alertas de sistemas de segurança, bem como gerenciar as permissões de acesso desse sistema.
Conformidade e controles
A implementação de estratégias sólidas de SOD pode ajudar a eliminar erros de funcionários, intencionais ou não. Você também pode capturar registros fraudulentos, se houver. Dessa forma, você pode manter sua organização protegida contra violações de conformidade. Por exemplo, você deve tornar a mesma pessoa responsável por arquivar informações financeiras e auditá-las.
Outros exemplos
A mesma pessoa não deve ser responsável por:
- Criação e aprovação de requisições
- Criação e aprovação de faturas de fornecedores
- Preparar a fatura e inserir transações de vendas no razão
- Pagamento de salários e contratação de funcionários
- Registrar o dinheiro recebido e criar notas de crédito
- Negociação de ações e gerenciamento de fusões e aquisições
- Configurando compradores e aprovando requisições ou ordens de compra
Vantagens do SoD
Algumas das vantagens de aplicar SoD em sua organização são:
#1. Prevenção e Detecção de Fraude
As organizações estão se tornando vítimas de fraude mais do que nunca. Envolve atividades fraudulentas como adulteração de cheques, desvio de dinheiro, apropriação indevida de ativos, falsificação de documentos, recibos falsificados, faturas, erros de registro contábil e muito mais.
Com o SoD, você pode garantir que nenhuma pessoa ou grupo seja responsável por executar todas as funções de uma determinada tarefa. Isso impedirá a oportunidade de cometer fraude e ocultá-la. Ter mais atenção em uma tarefa significa que qualquer pessoa pode detectar, relatar e ajudar a prevenir fraudes externas ou internas.
#2. Redução de Erros Humanos
Se você implementar SoD corretamente em sua organização, provavelmente verá uma redução significativa em erros humanos e riscos relacionados em seus processos financeiros críticos. Pode envolver erros como documentação insuficiente de transações, baixa mão de obra em contabilidade, erros de entrada de dados, auditorias descuidadas, etc.
Empregar vários indivíduos em transações críticas essencialmente aumenta a chance de um indivíduo perceber qualquer erro ocorrido e resolvê-lo.
#3. Auditorias aprimoradas
Reduzir as chances de riscos e erros melhorará a manutenção de registros de seu departamento de finanças, folha de pagamento, contabilidade, TI ou segurança cibernética. O SoD ajudará a garantir que os registros sejam organizados adequadamente, eliminando problemas como duplicação, multas por atraso, riscos de conformidade, etc.
Assim, você estará mais bem preparado para as auditorias, sejam elas anuais, semestrais ou trimestrais. Você também se sentirá mais confiante antes de cumprir os regulamentos e evitará penalidades.
#4. Aumenta a Eficiência
Alguns podem pensar que adicionar mais funções levará a ineficiências e custos mais altos. No entanto, se você planejar bem o SoD, isso promoverá a eficiência. É porque você está dividindo uma tarefa em várias subtarefas, cada uma executada por um indivíduo adequado e especializado com melhor precisão e velocidade.
Isso não apenas reduz os riscos, mas também proporciona maior eficiência em comparação com o caso em que uma única pessoa deve realizar toda a tarefa. Além disso, o custo dos danos para a empresa na ausência de SoD é muito maior do que você investe na contratação de mais pessoal.
Algumas terminologias SoD
Para entender melhor o SoD, você deve aprender sobre as seguintes terminologias:
#1. Conflitos SoD
Um conflito SoD pode surgir quando uma pessoa age contra os interesses da organização e em seu interesse. Isso significa que eles adquiriram vários papéis para desempenhar várias funções importantes em um processo. Fazer isso pode afetar a integridade do processo, bem como a empresa.
Conflitos de SoD podem ocorrer em diferentes domínios de uma organização, como Order to Cash (O2C) ou Purchase to Pay (P2P). Para mitigar conflitos de SoD, você deve analisar e avaliar tais incidentes. As organizações também devem implementar controles sólidos e se proteger de funcionários que participam de atividades ilegais.
Uma boa estratégia para evitar conflitos de SoD pode ser a aplicação de controles de acesso baseados em função (RBAC) em toda a organização. O RBAC garante que as permissões e controles de acesso sejam fornecidos aos usuários com base em suas funções e responsabilidades na organização, não mais do que isso.
Nele, você pode designar um indivíduo autorizado para analisar cada função e permissão de acesso atribuída a eles para sobreposições de SoD entre funções e entre funções.
No entanto, nem todo conflito significa causar danos ou resultar em ações ilegais. Um usuário pode fazê-lo acidentalmente, por descuido ou executar uma função necessária para a empresa que precisa de mais permissões.
É por isso que as empresas devem examinar minuciosamente o caso e avaliar suas políticas de violação de SoD para garantir que os conflitos não se transformem em fraude ou atividade ilegal.
#2. Violação de SOD
Violações de SoD podem acontecer se um funcionário de uma organização explorar sua função atribuída e acessar informações intencionalmente ou realizar uma atividade proibida. Isso significa que eles estão violando a política interna ou os regulamentos externos da organização.
Os funcionários podem cometer uma violação de SoD quando obtiverem controle sobre várias etapas do processo, excedendo as etapas permitidas. Em seguida, eles usam indevidamente o acesso para seu benefício.
Exemplo: uma empresa pode estabelecer uma política de que a pessoa que contrata funcionários também não pode distribuir contracheques. É porque, se eles realizarem ambas as atividades, poderão aproveitá-las em benefício próprio e orquestrar fraudes ou atividades ilegais. Assim, isso se transformará em uma violação de SoD.
É assim que uma violação interna de SoD se parece; vamos entender como pode ocorrer uma violação externa de SoD. Por exemplo, um tomador de decisão sênior como o CEO de uma organização se entrega à manipulação de demonstrações financeiras, violando os regulamentos da SOX.
Isso pode levar a multas enormes para a organização, e o funcionário também pode cumprir uma pena de prisão. Isso é prejudicial para a organização em termos de reputação e custo.
Para mitigar violações de SoD, uma organização deve monitorar suas violações e a atividade de cada funcionário. Eles também devem continuar atualizando suas políticas com a mudança do espaço tecnológico.
#3. Matriz SoD
A matriz de SoD é uma abordagem que os gerentes adotam para reduzir as complexidades de SoD. Ele permite que os gerentes distingam diferentes responsabilidades, papéis e riscos em uma organização.
Além disso, a matriz SoD pode detectar possíveis conflitos em toda a organização e ajudar a resolvê-los a tempo, ao mesmo tempo em que oferece segurança contra danos graves.
As matrizes SoD são geradas automaticamente em empresas modernas que dependem de software ERP. Uma matriz SoD gerada é baseada nas tarefas e funções de um usuário definidas em seu software ERP.
Aqui, cada tarefa deve corresponder a um processo em um determinado fluxo de trabalho de transação para agrupar tarefas e funções, garantindo que nenhum usuário tenha permissão para executar mais de uma etapa no fluxo de trabalho.
Além disso, uma matriz SoD pode ser representada por um gráfico onde as funções do usuário são mantidas em ambos os eixos – X e Y que significam conflitos SoD. Além disso, mapeia os deveres e atividades para papéis em um fluxo de trabalho para permitir que as equipes de conformidade separem responsabilidades incompatíveis.
Você pode criar uma matriz SoD usando um software como o MS Excel ou manualmente em uma folha de papel. Eles também podem ser criados usando uma ferramenta ERP.
Exemplo: Aqui está um exemplo de como você pode criar uma matriz SoD para a folha de pagamento de um funcionário. Você pode usar qualquer significante como sim/não, bandeiras ou setas coloridas, uma marca de escala, etc. para funções e responsabilidades. Vamos usar S/N no gráfico a seguir.
Processo Empregado Integração de funcionários Criação de contracheques Liquidação de pagamentos Gerenciamento de benefícios Integração de funcionários 1 ANNNC Criação de contracheques 2 ANOS N Liquidação de pagamentos 3 ANOS Gerenciando benefícios 4NNNY
No gráfico acima, é mostrado que o funcionário 2 tem autorização para criar contracheques e compensá-los. Portanto, não devem alterar benefícios ou contratar funcionários. Se o fizerem, pode surgir um conflito de SoD. Da mesma forma, o funcionário 1 é responsável pela contratação de novos funcionários. Portanto, eles não devem criar contracheques, gerenciar benefícios ou liquidar pagamentos. Caso contrário, pode ocorrer um conflito de SoD.
Como implementar SoD
Então, se você está pensando em implementar o SoD, mas está confuso sobre por onde começar, aqui estão os passos que você pode seguir:
Definir processos e políticas organizacionais
Em primeiro lugar, você deve definir todos os principais processos organizacionais pelos quais os funcionários são responsáveis. Pode ser baseado no tamanho da sua organização e no tipo de setor. Depois de definir cada processo e tarefa, liste suas políticas também. Defina políticas para seus funcionários internos, fornecedores externos e outras entidades com as quais você lida.
Por exemplo, em seu departamento de RH, você pode listar tarefas como contratação e integração de funcionários, criação de benefícios e remuneração, compensação de pagamentos, manutenção de registros, etc. Da mesma forma, no departamento de contas, você pode listar tarefas como confirmação de entrega de produtos, revisão de faturas , assinando cheques, pagando faturas, etc.
Além disso, você precisará delinear as políticas que criou para seus departamentos e funcionários. Por exemplo, um funcionário que emite um pagamento não deve ser o mesmo que assina cheques. Outro exemplo de política poderia ser – o funcionário responsável pela venda de um produto também não deve confirmar sua entrega.
Crie uma Matriz SoD
Depois de definir suas tarefas e políticas, você deve criar uma matriz SoD para listar todas as funções e tarefas. Isso o ajudará a entender quais funcionários são responsáveis por quais tarefas e se há alguma possibilidade de conflito ou violação de SoD.
O gráfico acima ajudará você a criar uma matriz SoD para sua organização. Mas, às vezes, torna-se difícil detectar conflitos de SoD, especialmente quando as representações não correspondem adequadamente às tarefas. Para isso, você pode adotar duas abordagens ao criar uma matriz SoD:
Defina claramente todas as tarefas e rotule cada conflito de SoD: cria uma matriz grande, mas oferece melhor precisão na representação visual das tarefas e funções.
Omitir algumas tarefas ou agrupá-las: fornecerá uma matriz condensada, fácil de analisar e focar em conflitos de SoD. No entanto, isso pode levar a falsos positivos e erros que afetam os resultados e conflitos do SoD.
Atribuir tarefas
Depois de detectar todos os conflitos de SoD, comece a atribuir tarefas e subtarefas aos funcionários, aproveitando o conceito de segregação de funções. Se você se deparar com um cenário em que não pode aplicar o SoD, descubra uma maneira sólida de controlar e monitorar o funcionário que executa a tarefa para impedir qualquer risco.
Gerenciar e revisar
É vital monitorar e revisar suas tarefas e funções para garantir que o SoD seja bem implementado e que não haja conflito ou violação em potencial. E se você detectar alguma, gerencie suas funções e tarefas reatribuindo-as novamente. Continue monitorando para prevenir riscos.
Conclusão
A segregação de funções (SoD) fornece uma excelente maneira de gerenciar controles internos e evitar fraudes e erros. Isso ajudará a garantir a segurança organizacional para que ninguém obtenha controle excessivo, o suficiente para causar danos à sua organização em termos de vazamentos de dados, fraudes ou atividades ilegais. Portanto, implemente o SoD em sua organização e fique seguro e vigilante.
Você também pode explorar algumas ferramentas de detecção e prevenção de fraudes para negócios online.