SoD on SOX: auditoria com menor esforço
Segregação de funções na SOX permite aprimorar a auditoria com menor esforço
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Segregação de funções na SOX permite aprimorar a auditoria com menor esforço

    Publicado em: 31 de janeiro de 2023

    Para os auditores independentes para certificação SOX, quanto maior a preocupação com a SoD, maior é o nível de maturidade de governança.

    Erick Matheus Santos e Gustavo Ferreira*

    A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários. 

    Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.

    Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.

    Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.

    Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.

    Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.

    Prevenir resultados desastrosos

    Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.

    Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.

    Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos. 

    *Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

    Compartilhe:

    Publicações relacionadas

    A importância da proteção de identidades e acessos

    24 de maio de 2024

    A proteção de identidade e acessos é parte fundamental do processo de fortalecer a segurança da sua empresa.

    Leia mais

    Leaders League 2024: Protiviti Brasil é reconhecida em 4 categorias do Dispute Resolution

    10 de abril de 2024

    A empresa foi apontada como Líder em Compliance, Excelente em Forensics e Altamente Recomendada em Gestão de Riscos e Auditoria

    Leia mais

    Excelência na Auditoria Interna: normas globais, ferramentas inovadoras e desafios da indústria 4.0

    26 de fevereiro de 2024

    A auditoria interna é uma função essencial nas organizações, desempenhando um papel crítico na avaliação dos processos de governança em diferentes ambientes econômicos, legais e culturais; entre companhias com missões, tamanhos, complexidades e estruturas distintas; e por pessoas dentro ou fora da organização. Para garantir a eficácia dessa prática, é fundamental a adoção de padrões […]

    Leia mais

    Lições do Pró-Ética: como promover programas de Compliance efetivos por meio de auditorias, controles internos e tecnologia? 

    22 de fevereiro de 2024

    A Controladoria-Geral da União (CGU) divulgou recentemente as 84 organizações reconhecidas na edição 2022-2023 do Empresa Pró-Ética, programa que incentiva as companhias a combaterem a corrupção.   O recebimento deste selo é um reconhecimento valorizado no mercado, uma vez que identifica empresas que possuem programas de Compliance efetivos, e que trabalham promovendo a cultura de […]

    Leia mais