O que é SOD? Prevenindo erros e fraudes
Por CAP Platform / Iteris
SOD, por definição, é Segregation of Duties – também conhecido como Segregação de Funções.
É o método responsável por garantir a integridade na execução de tarefas, promovendo o gerenciamento de risco sustentável e fornecendo controles internos para uma empresa, ao mapear e distribuir funções críticas entre os colaboradores.
Baseado na coparticipação de responsabilidades, ao distribuir funções críticas entre pessoas ou equipes diferentes, o SOD permite a criação de uma cultura de transparência e eficiência.
Além disso, viabiliza um maior gerenciamento na prevenção de riscos e fraudes.
Mas o que isso significa?
O principal objetivo da aplicação de métodos e políticas de SOD em uma empresa reside em impedir o conflito de interesses entre funcionários, atribuições e áreas.
Essa prevenção é norteada pelos princípios da metodologia, possibilitando a identificação do responsável pela função, o que pode impedir a prática de atos ilícitos.
Dessa forma, garantimos a integridade do compliance dentro de uma organização.
Soluções de SOD
As organizações devem aplicar o SOD adequado, considerando a separação de atribuições entre indivíduos ou seus grupos.
Há, nesse contexto, três tipos diferentes de aplicação:
- SOD por indivíduos (nível individual): esse é o nível tradicional e mais básico de segregação de funções. Nesse caso, a SOD é alcançada com diferentes pessoas desempenhando funções diferentes;
- SOD por funções ou unidades organizacionais (nível de unidade): nesse nível, diferentes funções, ou seja, departamentos, executam as tarefas segregadas;
- SOD por empresas (nível de empresa): nesse nível, diferentes entidades legais são necessárias para realizar as operações.
Construindo uma estrutura de SOD dentro de uma empresa
O primeiro passo para a implementação de métodos de SOD em uma organização é a construção de uma matriz, indicando todos os potenciais conflitos.
A partir daí, é necessário se debruçar sobre cada um dos pontos levantados, analisando os riscos e impactos de cada um dos conflitos de interesse.
Com isso, será possível criar uma metodologia para detectar o risco residual, de forma que a empresa poderá definir o risco com o qual irá operar.
De posse dessas informações, é hora de selecionar e implementar controles internos que permitam a redução do risco de fraudes e atos ilícitos.
Depois de cumprir esses passos, é indicado verificar a possibilidade de separar funções, redesenhando as atribuições dos colaboradores que fazem parte do quadro de funcionários de maneira racional.
Por último, mas não menos importante: vale realizar a avaliação dos perfis de acesso, verificando se eles refletem os conflitos da matriz de SOD para, se necessário, redesenhá-los, minimizando assim os riscos assumidos.
Como o SOD é um controle interno, uma organização deve inclui-lo no quadro de suas atividades de gerenciamento de risco, analisando detalhadamente os processos de negócios e realizando escolhas sobre a detecção e resolução de conflitos potenciais.
Em última instância, se algum conflito persistir, a empresa deve implementar controles de compensação para gerenciar os riscos associados de forma adequada.
Mais importante ainda, o SOD requer que uma organização tenha uma compreensão clara dos indivíduos envolvidos, suas funções e quaisquer conflitos potenciais.
As organizações que veem a segregação de funções como um controle interno essencial recorrem à governança e administração de identidade (IGA) para ajudá-las a centralizar, monitorar, gerenciar e revisar o acesso continuamente.
As soluções IGA não apenas garantem que o acesso a informações como dados financeiros seja estritamente controlado, mas também permitem que as organizações provem que estão tomando medidas para atender aos requisitos de conformidade.
O CAP Access Management é uma solução de IGA (Identity Governance and Administration) que estabelece um fluxo integrado e efetivo entre os principais sistemas e recursos corporativos, permitindo uma sinergia completa entre governança, usabilidade, integração e auditoria.