Segregação de funções

Pelo princípio básico de controle interno consiste na separação de atribuições ou responsabilidades entre diferentes pessoas, especialmente as funções ou atividades-chave de autorização, execução e aprovação.

Dentro de ambientes SAP, consiste em estabelecer que uma mesma pessoa não tenha acesso a transações conflitantes, gerando um risco para a empresa. (Ex. acesso a F-44 Compensar Fornecedores com a FB02 Libera Fatura).

As empresas são cobradas continuadamente por esse tema, atualizam suas matrizes de Segregação de Função, implementam ferramentas como o SAP GRC Access Control, e continuam tendo GAP's com as auditorias. Por que isso acontece?

Acontece, porque as empresas não viram a "chave" de projeto para processo, e não adotam um monitoramento contínuo para os riscos de Segregação de Função. Não revisam seus processos e não treinam seus gestores, é muito mais fácil instalar um produto para fazê-lo.

O problema é que estamos no caos e com a implementação de uma ferramenta sem revisão de processos e conscientização dos gestores, só estamos automatizando o caos.

Outro ponto, é que muitas empresas continuam mantendo a TI como gestoras dos riscos de SoD, quando na verdade deveriam ser das áreas, ou seja, cada área ser responsável pelos seus riscos de SoD.

Uma vez desenhado o processo, se um gestor aprovar um risco de SoD, ele deverá executar o controle compensatório para monitorar o risco que ele mesmo aprovou. O que verificamos, é que em muitas empresas, o gestor aprova o risco e quem monitora é outra área como por exemplo (TI ou Controles Internos).

Segregação de função começa com uma grande mudança cultural dentro das empresas.