SoD on SOX: auditoria com menor esforço
Segregação de funções na SOX permite aprimorar a auditoria com menor esforço
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Segregação de funções na SOX permite aprimorar a auditoria com menor esforço

    Publicado em: 31 de janeiro de 2023

    Para os auditores independentes para certificação SOX, quanto maior a preocupação com a SoD, maior é o nível de maturidade de governança.

    Erick Matheus Santos e Gustavo Ferreira*

    A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários. 

    Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.

    Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.

    Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.

    Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.

    Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.

    Prevenir resultados desastrosos

    Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.

    Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.

    Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos. 

    *Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

    Compartilhe:

    Publicações relacionadas

    Vazamento de informações: falha na proteção dos dados ou falta de gestão dos acessos internos? 

    8 de novembro de 2023

    O vazamento de informações é uma das principais pautas entre gestores de TI e um dos maiores riscos que as empresas podem enfrentar

    Leia mais

    Auditoria interna para a adesão do Brasil à OCDE: caminho para a redução da corrupção e das fraudes

    28 de junho de 2023

    As nações que adotam boas práticas de governança corporativa têm a necessidade de ter um sistema de auditoria interna desenvolvido e independente.

    Leia mais

    Next-Gen IA 2023: o futuro da Auditoria Interna

    15 de maio de 2023

    Os desafios que a Auditoria Interna enfrenta são claros para os executivos do setor: diante da escassez de novos talentos e de uma demanda cada vez maior para apoiar a transformação digital das empresas, o cenário exige da área um posicionamento cada vez mais estratégico.

    Leia mais

    Auditor interno com competência em tecnologia está entre os perfis profissionais mais procurados do Brasil, aponta Protiviti

    Executivos do setor relatam falta de acesso a talentos com capacidades em tecnologias como aprendizado de máquina, automação e análise de dados, além de habilidades em riscos

    Leia mais