segregação de deveres (SOD) na auditoria é a ideia de exigir que mais de uma pessoa complete certas funções-chave para evitar fraudes e erros.
A segregação de deveres é um elemento fundamental dos controles internos. O princípio básico subjacente à segregação de funções é que nenhuma pessoa ou grupo de funcionários deve estar em posição de cometer e ocultar erros ou fraudes em seus empregos do dia-a-dia.
dependendo do tamanho e da natureza de um negócio, os cargos e estruturas organizacionais reais podem variar muito entre as empresas.
Sob o conceito de SOD, deveres que são críticos de negócios pode ser categorizada em quatro tipos de funções:
- Autorização
- Custódia
- manutenção de registros
- Reconciliação
Em um sistema perfeito, nenhuma pessoa deve lidar com mais de um tipo de função.
O conceito geral de SOD é impedir que uma pessoa tenha acesso a ativos, bem como a responsabilidade de manter a responsabilidade desses ativos. Essencialmente, o SOD promove responsabilidades compartilhadas de um processo-chave que dispersa funções críticas desse processo para mais de uma pessoa, departamento ou empresa. A segregação de funções é uma questão fundamental para as organizações garantirem o cumprimento das leis e regulamentos. A importância do SOD decorre da consideração de que dar a uma pessoa o controle completo de um processo de negócios ou de um ativo pode expor uma empresa ao risco.
portanto, a aplicação do SOD é um elemento de Controle importante para apoiar a obtenção de uma estratégia eficaz de gerenciamento de riscos.
embora não haja um padrão de auditoria de controle interno ou um ditado contábil que prescreva requisitos específicos de SOD, manter um sistema de controles internos eficazes requer a segregação apropriada de funções.
para que os controles internos sejam eficazes, deve haver uma divisão adequada de responsabilidades entre os indivíduos que lidam com ativos e aqueles que realizam atividades de controle ou procedimentos contábeis.
em geral, as organizações devem projetar o trabalho de processamento de transações e tarefas relacionadas para que o trabalho de uma pessoa seja independente ou sirva como uma verificação do trabalho de outra. Isso reduz os riscos de erros não detectados e limita as oportunidades de apropriação indevida de ativos ou ocultar distorções intencionais nas demonstrações financeiras de uma empresa. SOD atua para impedir a fraude e impedir que um indivíduo encobra erros, porque essa pessoa teria que garantir a cooperação de outro indivíduo para ocultar essas atividades.
SOD é bem conhecido em sistemas de contabilidade financeira. Organizações de todos os tamanhos entendem que não devem combinar funções, como receber pagamentos em contas e aprovar baixas, depositar dinheiro e reconciliar extratos bancários, etc. Embora o SOD seja relativamente novo para a maioria dos departamentos de tecnologia da Informação (TI), muitos problemas de Auditoria Interna Sarbanes-Oxley (SOX) vêm dele. O SOX, que foi aprovado em 2002, ajuda a proteger os investidores de relatórios financeiros fraudulentos por empresas.
em sistemas de informação, a segregação de funções ajuda a reduzir o dano potencial das ações de uma pessoa. De acordo com a matriz de controle de segregação de deveres da ISACA, as empresas não devem combinar alguns deveres em uma posição.
no entanto, a matriz não é um padrão da indústria, mas sim uma diretriz geral indicando quais posições devem ser separadas e quais requerem controles de compensação quando combinadas. Os controles de compensação são controles internos destinados a reduzir o risco de uma fraqueza de controle existente ou potencial.
quando uma organização é incapaz de segregar deveres, deve colocar controles de compensação no lugar. Se uma pessoa pode realizar e ocultar erros e / ou irregularidades fazendo seu trabalho diário, ele recebeu tarefas que não são compatíveis com SOD. Existem vários mecanismos de controle interno que podem ajudar uma empresa a impor a segregação de funções:
- as trilhas de auditoria permitem que os auditores recriem o fluxo real da transação de sua origem para sua existência em um arquivo de auditoria atualizado. Uma boa trilha de auditoria deve fornecer informações sobre quem iniciou a transação, a hora do dia e a data de entrada, o tipo de entrada, quais campos de Informações ela continha e quais arquivos ela atualizou.Os supervisores devem lidar com relatórios de exceção, apoiados por evidências indicando que as exceções são tratadas adequadamente e em tempo hábil. Geralmente, é necessária a assinatura da pessoa que prepara o relatório.
- uma organização deve manter um sistema manual ou automatizado ou registros de transações de aplicativos registrando todos os comandos do sistema processados ou transações de aplicativos.Uma empresa deve empregar alguém para realizar uma revisão independente, o que pode ajudar a detectar erros e irregularidades nas demonstrações financeiras, por exemplo.
as organizações devem aplicar o SOD adequado, exigindo a segregação de deveres entre indivíduos ou grupos de indivíduos. Existem vários níveis diferentes de segregação de deveres:
- SOD por indivíduos (SOD de nível individual): Este é o nível tradicional e mais básico de segregação de deveres. Nesse caso, o SOD é alcançado fazendo com que pessoas diferentes desempenhem funções diferentes. Por exemplo, um gerente autoriza um trabalhador a fazer um pagamento.
- SOD por funções ou unidades organizacionais( SOD de nível unitário): nesse nível, diferentes funções, ou seja, departamentos, desempenham as funções segregadas. Por exemplo, o departamento de vendas pode preparar uma oferta e a função de gerenciamento de risco assina nela.
- SOD por empresas (SOD de nível de empresa): Nesse nível, diferentes pessoas jurídicas são obrigadas a realizar operações. Por exemplo, a controladora pode ter que autorizar investimentos feitos por uma subsidiária. Outro exemplo de SOD no nível da empresa é uma auditoria de terceiros.
como o SOD é controle interno, uma organização deve visualizá-lo dentro do quadro de suas atividades de gerenciamento de riscos. Uma empresa deve analisar minuciosamente os processos de negócios e fazer escolhas sobre como detectar e resolver possíveis conflitos.
se houver algum conflito, a organização deve implementar controles de compensação para gerenciar os riscos associados adequadamente. Mais importante ainda, SOD exige que uma organização tenha uma compreensão clara dos indivíduos envolvidos, seus papéis e quaisquer conflitos potenciais.