O que é SOD? Prevenindo erros e fraudes

Publicado

Por

Alfredo Santos

O que é SOD? Prevenindo erros e fraudes

Por CAP Platform / Iteris

SOD, por definição, é Segregation of Duties – também conhecido como Segregação de Funções.

É o método responsável por garantir a integridade na execução de tarefas, promovendo o gerenciamento de risco sustentável e fornecendo controles internos para uma empresa, ao mapear e distribuir funções críticas entre os colaboradores.

Baseado na coparticipação de responsabilidades, ao distribuir funções críticas entre pessoas ou equipes diferentes, o SOD permite a criação de uma cultura de transparência e eficiência. 

Além disso, viabiliza um maior gerenciamento na prevenção de riscos e fraudes.

Mas o que isso significa?

O principal objetivo da aplicação de métodos e políticas de SOD em uma empresa reside em impedir o conflito de interesses entre funcionários, atribuições e áreas. 

Essa prevenção é norteada pelos princípios da metodologia, possibilitando a identificação do responsável pela função, o que pode impedir a prática de atos ilícitos. 

Dessa forma, garantimos a integridade do compliance dentro de uma organização.

Soluções de SOD

As organizações devem aplicar o SOD adequado, considerando a separação de atribuições entre indivíduos ou seus grupos. 

Há, nesse contexto, três tipos diferentes de aplicação:

  • SOD por indivíduos (nível individual): esse é o nível tradicional e mais básico de segregação de funções. Nesse caso, a SOD é alcançada com diferentes pessoas desempenhando funções diferentes;
  • SOD por funções ou unidades organizacionais (nível de unidade): nesse nível, diferentes funções, ou seja, departamentos, executam as tarefas segregadas;
  • SOD por empresas (nível de empresa): nesse nível, diferentes entidades legais são necessárias para realizar as operações.

Construindo uma estrutura de SOD dentro de uma empresa

O primeiro passo para a implementação de métodos de SOD em uma organização é a construção de uma matriz, indicando todos os potenciais conflitos. 

A partir daí, é necessário se debruçar sobre cada um dos pontos levantados, analisando os riscos e impactos de cada um dos conflitos de interesse.

Com isso, será possível criar uma metodologia para detectar o risco residual, de forma que a empresa poderá definir o risco com o qual irá operar. 

De posse dessas informações, é hora de selecionar e implementar controles internos que permitam a redução do risco de fraudes e atos ilícitos.

Depois de cumprir esses passos, é indicado verificar a possibilidade de separar funções, redesenhando as atribuições dos colaboradores que fazem parte do quadro de funcionários de maneira racional.

Por último, mas não menos importante: vale realizar a avaliação dos perfis de acesso, verificando se eles refletem os conflitos da matriz de SOD para, se necessário, redesenhá-los, minimizando assim os riscos assumidos.

Como o SOD é um controle interno, uma organização deve inclui-lo no quadro de suas atividades de gerenciamento de risco, analisando detalhadamente os processos de negócios e realizando escolhas sobre a detecção e resolução de conflitos potenciais.

Em última instância, se algum conflito persistir, a empresa deve implementar controles de compensação para gerenciar os riscos associados de forma adequada. 

Mais importante ainda, o SOD requer que uma organização tenha uma compreensão clara dos indivíduos envolvidos, suas funções e quaisquer conflitos potenciais.

As organizações que veem a segregação de funções como um controle interno essencial recorrem à governança e administração de identidade (IGA) para ajudá-las a centralizar, monitorar, gerenciar e revisar o acesso continuamente. 

As soluções IGA não apenas garantem que o acesso a informações como dados financeiros seja estritamente controlado, mas também permitem que as organizações provem que estão tomando medidas para atender aos requisitos de conformidade.

O CAP Access Management é uma solução de IGA (Identity Governance and Administration) que estabelece um fluxo integrado e efetivo entre os principais sistemas e recursos corporativos, permitindo uma sinergia completa entre governança, usabilidade, integração e auditoria. 

Fale com a gente!

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/

IAM Identity & Access Management

Aviso Legal: As informações apresentadas nos eventos e lives são apenas para fins educacionais. Não incentivamos nem apoiamos o uso destas técnicas para qualquer atividade ilegal. O objetivo é promover a conscientização e a melhoria das práticas de segurança cibernética. O uso inadequado das informações apresentadas é estritamente proibido e pode resultar em consequências legais.

IAM Tech Day

IAM TECH DAY

Início

Eventos

Artigos

Contato

COMUNIDADE

Canal YouTube

Newsletter

Comunidade LinkedIn

Twitter

OUTROS

Patrocine

Política de privacidade

Termos de uso

Call For Papers

© Copyright IAM Tech Day • Todos os direitos reservados • Design by