Definição de separação de funções
A separação de funções (SoD), também conhecida como segregação de funções, é o princípio de que nenhum usuário deve ter controle total sobre sistemas, processos ou atividades confidenciais. Por exemplo, uma pessoa não pode concluir uma tarefa sem outra pessoa que atue como verificador, ou o acesso pode ser limitado a um número definido de vezes. A separação de funções visa evitar comprometimentos de segurança, como erros, fraudes, uso indevido de informações, sabotagem e roubo.
A aplicação da separação de funções pode ser estática ou dinâmica.
- Aplicação estática A mesma pessoa não pode executar funções que tenham um conflito. Por exemplo, a pessoa que autoriza o pagamento por cheque não deve ser aquela que assina eletronicamente o cheque.
- Aplicação dinâmica O controle é exercido em tempo real. Os usuários precisam da aprovação de uma pessoa autorizada para concluir uma tarefa.
A separação de funções divide as tarefas em quatro categorias: autorização, custódia, reconciliação e manutenção de registros. Seguindo os protocolos, diferentes pessoas executam cada uma das seguintes tarefas como parte do sistema de verificações e compensações.
- Autorização A revisão e aprovação de transações ou operações
- Custódia de ativos Controle sobre acesso a ativos e sistemas físicos e digitais
- Reconciliações A verificação da precisão, integridade e validade de transações ou operações
- Registro de transações A criação e manutenção de registros relacionados a transações ou operações
Importância da separação de funções
Algumas funções organizacionais importantes para a separação de funções são:
- Contabilidade e finanças
- Segurança cibernética
- Tecnologia da informação
- Outras áreas que podem ter um impacto crítico na organização
A implementação da separação de funções em funções sensíveis ajuda a minimizar os riscos relacionados a ameaças internas, como por exemplo:
- Falsificação de registros financeiros para corresponder a previsões de ganhos
- Realização de espionagem corporativa
- Roubo de dinheiro da organização
A conformidade é outro motivo para implementar a separação de funções. Nos Estados Unidos, a Lei Sarbanes-Oxley de 2002 (SOX) especifica a necessidade da separação de funções. O objetivo é proteger contra fraudes contábeis se houver falsificação de demonstrações financeiras.
Com a SOX, os comitês de auditoria e executivos de nível sênior são responsáveis pela idoneidade das demonstrações financeiras. A separação de funções é necessária para fornecer sistemas de controle interno eficazes para relatórios financeiros, para garantir a veracidade.
A seguir apresentamos outras razões pelas quais a separação de funções é importante.
Responsabilidade Um programa de separação de funções promove a responsabilidade e a transparência dentro da organização, atribuindo responsabilidades a equipes e pessoas especificamente. Além de suas responsabilidades, eles são responsáveis pela supervisão de funções e atividades secundárias.
Atenção aos detalhes Ninguém gosta que descubram seus erros, e a separação de funções fornece supervisão que identifica erros. Devido às verificações e compensações fornecidas, as organizações veem o desenvolvimento de uma cultura que demonstra atenção aos detalhes impulsionada pelo desejo de evitar erros, o que beneficia todos os aspectos da empresa.
Prevenção de erros Com a atribuição de diferentes tarefas e responsabilidades a pessoas ou equipes, a separação de funções ajuda as organizações a identificarem erros em tempo hábil. Isso ajuda a evitar, na melhor das hipóteses, a perda de tempo com correções e problemas legais e, na pior das hipóteses, violações de conformidade.
Prevenção a fraudes A separação de funções, como autorização, registro e custódia, fornece um sistema de verificações e compensações que reduz significativamente o risco de fraude. Como nenhuma pessoa ou equipe tem controle total sobre os processos ou funções confidenciais, são eliminadas as oportunidades de manipulação, desfalque ou outros tipos de má conduta financeira.
Riscos associados à separação de funções
A separação de funções oferece muitos benefícios, mas há vários desafios, entre eles os seguintes:
- Complica os processos de negócios
- Cria conflitos entre segurança e eficiência
- Dá a falsa impressão de reduzir erros
- Interfere na satisfação, engajamento e retenção dos funcionários
- Aumenta os requisitos e custos de pessoal
- Cria oportunidades de conluio
- Reduz a produtividade operacional
Melhores práticas para separação de funções
Avaliar os níveis de risco ao estabelecer o SoD
A separação de funções será diferente dependendo das organizações e departamentos. No entanto, ao determinar a melhor abordagem, todas as organizações devem criar e implementar políticas com base nos níveis de risco associados.
Ter a capacidade de demonstrar a separação de funções
Para confirmar a eficácia, a documentação de processos que devem ser usados para a separação de funções deve ser demonstrável para alguém externo.
Realizar treinamento de funcionários para divulgar a importância da SoD
Reserve tempo para desenvolver e agendar treinamento para os funcionários, que explique como e por que deve ser feita a separação de funções. Isso permite melhorias na eficácia do programa e obter o apoio dos funcionários.
Definir e documentar as responsabilidades para a separação de funções
Cada etapa dos processos de separação de funções, cargos e responsabilidades deve ser claramente definida e documentada. Isso deve incluir quem, seja uma pessoa específica ou um cargo, é responsável por iniciar, enviar, autorizar, revisar e auditar as atividades pertinentes à SoD.
Monitorar a SoD quanto à conformidade
Para muitas organizações, a separação de funções é um requisito de conformidade ou faz parte de programas de conformidade. As organizações devem revisar regularmente o programa para garantir que os controles e processos relacionados atendam aos requisitos em evolução.
Avaliar os esforços de separação de funções para identificar oportunidades de melhoria
Solicite feedback de usuários e auditores sobre o programa de SoD para identificar proativamente as áreas que podem ser otimizadas e melhoradas para agilizar as operações e reduzir o risco.
Realizar revisões regulares e manter os processos de SoD
Devem ser definidos e implementados controles para realizar monitoramento contínuo e revisões regulares de como a separação de funções está sendo executada para garantir que os processos não estejam impedindo a eficiência operacional e auditar a eficácia. Isso deve incluir mecanismos de relatório para documentar os resultados.
A SoD como um complemento aos portfólios de gerenciamento de risco
Incluir a separação de funções em programas de gerenciamento de risco pode ser uma maneira fácil e de baixa tecnologia de aumentar a eficácia. A separação de funções em toda a organização (ou seja, cobrindo tudo, desde operações e desenvolvimento até finanças e segurança de TI) pode reduzir o risco geral.
A separação de funções implementa verificações e compensações que ajudam a evitar problemas que podem prejudicar uma organização, o que resulta em perdas financeiras, penalidades regulatórias e danos irreparáveis à marca. Também ajuda a minimizar erros, evitar fraudes e limitar o escopo dos danos que um incidente pode causar.
Recursos
Você também pode estar interessado em:
Qual é o grau de maturidade da sua estratégia de segurança de identidade?
Descubra os cinco horizontes da segurança de identidade.