O que é SOD? Prevenindo erros e fraudes

Publicado

Por

Alfredo Santos

O que é SOD? Prevenindo erros e fraudes

Por CAP Platform / Iteris

SOD, por definição, é Segregation of Duties – também conhecido como Segregação de Funções.

É o método responsável por garantir a integridade na execução de tarefas, promovendo o gerenciamento de risco sustentável e fornecendo controles internos para uma empresa, ao mapear e distribuir funções críticas entre os colaboradores.

Baseado na coparticipação de responsabilidades, ao distribuir funções críticas entre pessoas ou equipes diferentes, o SOD permite a criação de uma cultura de transparência e eficiência. 

Além disso, viabiliza um maior gerenciamento na prevenção de riscos e fraudes.

Mas o que isso significa?

O principal objetivo da aplicação de métodos e políticas de SOD em uma empresa reside em impedir o conflito de interesses entre funcionários, atribuições e áreas. 

Essa prevenção é norteada pelos princípios da metodologia, possibilitando a identificação do responsável pela função, o que pode impedir a prática de atos ilícitos. 

Dessa forma, garantimos a integridade do compliance dentro de uma organização.

Soluções de SOD

As organizações devem aplicar o SOD adequado, considerando a separação de atribuições entre indivíduos ou seus grupos. 

Há, nesse contexto, três tipos diferentes de aplicação:

  • SOD por indivíduos (nível individual): esse é o nível tradicional e mais básico de segregação de funções. Nesse caso, a SOD é alcançada com diferentes pessoas desempenhando funções diferentes;
  • SOD por funções ou unidades organizacionais (nível de unidade): nesse nível, diferentes funções, ou seja, departamentos, executam as tarefas segregadas;
  • SOD por empresas (nível de empresa): nesse nível, diferentes entidades legais são necessárias para realizar as operações.

Construindo uma estrutura de SOD dentro de uma empresa

O primeiro passo para a implementação de métodos de SOD em uma organização é a construção de uma matriz, indicando todos os potenciais conflitos. 

A partir daí, é necessário se debruçar sobre cada um dos pontos levantados, analisando os riscos e impactos de cada um dos conflitos de interesse.

Com isso, será possível criar uma metodologia para detectar o risco residual, de forma que a empresa poderá definir o risco com o qual irá operar. 

De posse dessas informações, é hora de selecionar e implementar controles internos que permitam a redução do risco de fraudes e atos ilícitos.

Depois de cumprir esses passos, é indicado verificar a possibilidade de separar funções, redesenhando as atribuições dos colaboradores que fazem parte do quadro de funcionários de maneira racional.

Por último, mas não menos importante: vale realizar a avaliação dos perfis de acesso, verificando se eles refletem os conflitos da matriz de SOD para, se necessário, redesenhá-los, minimizando assim os riscos assumidos.

Como o SOD é um controle interno, uma organização deve inclui-lo no quadro de suas atividades de gerenciamento de risco, analisando detalhadamente os processos de negócios e realizando escolhas sobre a detecção e resolução de conflitos potenciais.

Em última instância, se algum conflito persistir, a empresa deve implementar controles de compensação para gerenciar os riscos associados de forma adequada. 

Mais importante ainda, o SOD requer que uma organização tenha uma compreensão clara dos indivíduos envolvidos, suas funções e quaisquer conflitos potenciais.

As organizações que veem a segregação de funções como um controle interno essencial recorrem à governança e administração de identidade (IGA) para ajudá-las a centralizar, monitorar, gerenciar e revisar o acesso continuamente. 

As soluções IGA não apenas garantem que o acesso a informações como dados financeiros seja estritamente controlado, mas também permitem que as organizações provem que estão tomando medidas para atender aos requisitos de conformidade.

O CAP Access Management é uma solução de IGA (Identity Governance and Administration) que estabelece um fluxo integrado e efetivo entre os principais sistemas e recursos corporativos, permitindo uma sinergia completa entre governança, usabilidade, integração e auditoria. 

Fale com a gente!

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/