Risco, Resiliência e PCN pós COVID-19.


MÁRIO  SÉRGIO RIBEIRO (*) Quem é ou foi meu aluno sabe que já não é de hoje que comento que o mundo que cria inúmeras facilidades de um lado, cria também inúmeras dificuldades e incertezas do outro. Vamos ter que Read more

LGPD: o projeto de segurança da informação de 2019!


(*) Mário Sérgio Ribeiro A Lei 13.709, conhecida como a Lei Geral de Proteção de Dados (LGPD), foi publicada em agosto desse ano e trata da proteção e privacidade de dados de pessoas físicas (clientes, empregados e outros) pelas empresas Read more

Resolução 4658 serve de alerta a todos os ramos de negócio.


(*) Mário Sérgio Ribeiro No final do mês de abril desse ano o Banco Central soltou a resolução 4658 que trata do tema Segurança Cibernética. Essa resolução foca em três principais tópicos: a política de segurança cibernética, resposta a incidentes Read more

A Segregação de Função não é um assunto que deveria interessar somente à Auditoria!

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sei quantos, mas certamente algumas pessoas que estão começando a ler esse artigo já se depararam com pontos de não conformidade com relação à falta do processo, falta da matriz de conflito da Segregação de Função? Quer seja pela auditoria interna, externa ou órgãos reguladores, o tema invariavelmente já bateu na porta de alguns. Entretanto, talvez, outra parcela de leitores ainda não teve que se preocupar com o tema, ou ainda não lhe chamou a atenção. De toda forma uma coisa é certa: a falta de atenção para com esse tema deve ser considerada bem crítica. Deve estar na agenda do Compliance, do Risco, da Segurança da Informação, TI, da Alta Administração, etc. Vamos procurar destrinchar esse assunto.

Mas, o que vem a ser a Segregação de Função?  Conhecida também no mercado e no meio acadêmico como SOD (Segregation of Duties), a SOD pode ser considerada um dos métodos que visa à redução de riscos deliberado ou proposital, quando o exercício de funções administrativas se mostram potencialmente conflitantes em sua cadeia produtiva, capazes de interferir nas tomadas de decisões. É necessária, portanto, a separação, o apartamento das funções a serem executadas, quando se apresentarem antagônicas, isto é, se exercidas cumulativamente forem capazes de interferir na produção das informações ou dos serviços. Logo, a SOD é princípio básico e primordial de um sistema de controle interno, estruturado na separação de funções.

A questão principal é procurar evitar o Conflito de Interesse entre as funções. A ideia de que um dado colaborador em uma dada função não deve exercer atividades conflitantes, segundo o princípio e atributos da SOD, tem como objetivo a mitigação do risco de um ato ilícito, como uma fraude, a ser praticado por tal colaborador no exercício de sua função.

A coisa fica mais simples de entender quando exemplificamos. Vamos pegar uma pequena empresa onde trabalham oito pessoas (dois sócios e seis funcionários). Nessa empresa existe um processo de Compras, onde um dos funcionários foi destacado para cuidar do processo como um todo. Esse funcionário, pela condição da empresa de poucos funcionários, seleciona fornecedores, cadastra, escolhe fornecedores para uma compra, realiza a cotação, leva as propostas para um dos sócios aprovar, e pronto, sai o fornecedor vencedor. Tem problema? Sim, claro! Mas a aprovação do fornecedor não é realizada por um dos sócios? Sim, é. Então, não temos problema, pois é o sócio quem escolhe? É, ledo engano. Isso ocorre aos montes em pequenas empresas, poderia até afirmar que em algumas para lá de pequena.

Onde está o risco nesse simples exemplo? O funcionário realiza atividades conflitantes e daí pode surgir o ilícito. Ele poderia até selecionar e cadastrar fornecedores, desde que existam critérios para tal, mas o recebimento das propostas, pelo menos, deveria ser endereçado com cópia a um dos sócios, que autorizaria o funcionário a elaborar uma planilha final, com critérios técnicos e comerciais previamente estabelecidos, e elaborada a planilha, entregaria ao sócio responsável para a decisão final. Parece simples, sim, e é simples, mas…

No exemplo fica claro que apartar atividades conflitantes mitiga e muito o risco de alguém que esteja mal-intencionado. Se todas as atividades que citei fossem deixadas na mão de um único funcionário, a possibilidade de um conluio com algum fornecedor era simples de se praticar. Isso entre tantas outras possibilidades de dano à empresa.

Normalmente se fala muito de SOD apenas para as áreas financeira e contábil, o que se trata de uma falha. Todas as áreas da empresa devem ser avaliadas e uma matriz de conflitos de SOD deve ser realizada para cada uma das áreas. Nessa matriz devem ser selecionados atributos de SOD, que podem e normalmente são diferentes entre as áreas, mas o resultado objetivado ao final é o mesmo: avaliar onde está havendo o Conflito de Interesse entre as funções.

É claro que existem áreas na empresa mais críticas do que outras, como a financeira, contábil, compras, TI, etc. O risco de uma fraude e quaisquer outros atos ilícitos nessas áreas produz um estrago bem maior do que em áreas menos crítica. De toda forma, cada empresa deve saber quais áreas são mais críticas e quais são menos críticas.

Para melhor entender e tratar os conflitos existentes em uma matriz SOD é avaliar sob a ótica do risco. Onde for identificado Conflitos de interesse na matriz deve ter o risco identificado e o potencial impacto advindo dele. Dessa forma, torna-se possível pensar e estruturar controles que possam mitiga-lo.

No exemplo do funcionário de Compras que usei nesse artigo, um simples controle de mitigação escolhido foi o de segregar algumas atividades do processo de compras ao sócio da empresa; mesmo assim, algum risco residual ficou, por conta de o funcionário realizar algumas atividades que possam gerar algum conflito de interesse e provocar algum dano.

Mas nem sempre é possível apartar atividades de um dado processo para outros funcionários ou até para o dono da empresa, mesmo porque, atividades até apartadas entre funcionários tem um risco residual clássico em função de tais funcionários estarem associados “para o mal”. Isso nos remete a ideia de que geralmente outros controles, além do apartamento das funções, devem ser pensados e colocados em prática para diminuir ao máximo o risco residual.

 Controles preventivos e detectivos devem ser pensados e implantados, dentro de um balanço apropriado. Não existe uma regra de quantos controles devem ser implantados para cada conflito identificado, mas sempre que possível, mais que um é sempre bem-vindo. Sabemos, entretanto, que quantidade não é qualidade, onde um controle bem desenhado e implantado e que reduz efetivamente um risco de conflito, é melhor do que dez sem nenhuma efetividade.

A coisa pode ficar pior quando juntarmos a matriz de conflito SOD com o perfil de acesso à sistemas informáticos de uma dada função. Certamente encontramos os conflitos de SOD da matriz nas permissões de acesso de dado perfil e/ou dado usuário (função do modelo de concessão de acesso da empresa) à sistemas informáticos. Se essas atividades conflitantes, mostradas em um “papel”, por meio de uma matriz, se refletem no âmbito da TI, a coisa já ruim, fica bem pior.

Falta de segregação, falta de visão do risco para conflitos de interesse, falta de controles mitigatórios aliado a permissões de acesso, além do necessário para uma dada função, é pedir para ser impactado por um ato danoso. Claro que não acontece na profusão pelas possibilidades geradas, até porque existe muita gente honesta, mas é dar muita sopa para o azar, ah, isso é.

Está aí exposto um pouco da preocupação de auditoria, reguladores e outros. A SOD, com sua matriz de conflitos e processo, seus riscos associados, e o excesso de privilégios concedidos às mesmas funções da matriz SOD é um assunto quase que absolutamente esquecido nas empresas em geral, a não ser que o chato do auditor solicite. De uma vez por todas é importantíssimo entender que esse assunto é a fonte de inúmeros incidentes com grande materialidade nas empresas, e isso é facilmente comprovado quando a coisa acontece e investigamos o porquê de ter ocorrido. Então se eu tivesse que dar um conselho e encerrasse o artigo faria da seguinte forma:

- Construa uma matriz SOD com os conflitos apontados (em todas as áreas);
- Avalie um a um de forma específica, os riscos e impactos de cada um dos conflitos de interesse;
- Selecione e implante controles de mitigação preventivos e detectivos;
- Encontre o risco residual no qual sua empresa sinta-se confortável;
- Veja sempre a possibilidade de apartar as funções, com uma possibilidade, redesenhando o job description da mesma.
- Avalie os perfis de acesso se eles refletem os conflitos de sua matriz SOD;
- Produza uma reengenharia em seus perfis de acesso para redução de riscos.

Então, mãos à obra!

Até a próxima.

___________________________________________________________________________________________

(*) 58 anos, engenheiro, mestre em segurança da informação pela USP.
Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA.
E-mail: mario.ribeiro@enigmaconsultoria.com.br