Por Erick Matheus Santos e Gustavo Ferreira*
A Lei SOX (Sarbanes-Oxley), promulgada nos dos Estados Unidos e que prima pela governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz SoD (Segregation of Duties ou Segregação de Funções). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E, as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções, entretanto eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em período de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.