Segregação de Função

Você pode até não conhecer a fundo, mas tenho certeza que sua empresa pode estar passando por diversos problemas devido a termo muito utilizado nos trabalhos de auditoria interna e gerenciamento de riscos: segregação de função.

Definição técnica:

Segregação de funções – princípio básico de controle interno essencial para a sua efetividade. Consiste na separação de atribuições ou responsabilidades entre diferentes pessoas, especialmente as funções ou atividades-chave de autorização, execução, aprovação, registro e revisão.

Em linhas gerais, é um princípio de controle interno que estabelece a separação de atribuições entre colaboradores em várias fases de um determinado processo. 

Ninguém deve ter sob sua inteira responsabilidade todas as fases inerentes a uma operação.

Tudo bem, mas o que é isso exatamente? Como a segregação de função se materializa? Qual a sua relevância?

No trâmite para integração de colaboradores, por exemplo, este princípio estabelece que cada etapa de processamento da integração (autorização, aprovação, execução, controle e contabilização) deve ser desempenhada por diferentes partes.

Outro erro muito comum, são em momentos em que as partes que exerçam atividades incompatíveis, como executar e fiscalizar uma mesma atividade, possuem autorizações similares, podendo ocorrer um conflito em processos de auditoria. 

A segregação de funções tem como maior benefício a prevenção de erros, omissões, fraudes e o uso irregular de recursos. Isso tende a ocorrer, mesmo que de forma involuntária, nos momentos em que há crescimento acelerado das organizações ou seus departamentos. 

Imagine um negócio que cresce seu número de colaboradores, e onde antes existiam 10 acessos, agora possuem 500. Nesse contexto, é natural que haja uma distribuição irregular de permissões sistêmicas, o que enseja a ocorrência de conflitos de segregação de funções.

É importante evitar que membros de uma organização obtenham privilégios operacionais que possam causar conflitos de interesse que podem ser prejudiciais à organização.

Mas o que (e como) fazer a segregação de função?

Os mecanismos de segregação de funções (SoD) são projetados para gerenciar relacionamentos conflitantes entre determinadas entidades de modelo. As permissões que são caracterizadas por conflito recíproco não podem ser agregadas ao mesmo usuário.

Por exemplo, uma organização tem três funções, F1, F2 e F3. Duas dessas funções, F1 e F2, são definidas como conflitantes.

Se F2 e F3 fossem construídas com as mesmas permissões, então, ambos os pares (F1, F2) e (F1, F3) dariam ao usuário acesso a permissões conflitantes. Basicamente, F2 é equivalente a F3, embora, por definição, apenas o par (F1, F2) possa ser considerado como funções conflitantes.

De acordo com o modelo RBAC, as funções são contêineres de grupos de permissões; a capacidade operacional real do usuário depende das permissões que definem as características operacionais de uma função.

No exemplo anterior, um método é redefinir as permissões conflitantes. O conflito entre funções é causado pelas permissões conflitantes.

Em organizações grandes, os sistemas operacionais podem registrar centenas de milhares de permissões. A redefinição de permissões não é prática.

Bom, até aqui falamos dos riscos e conflitos que podem existir na atribuição de permissões a usuários, mas há também o aspecto de produtividade. Gerenciar adequadamente suas permissões sistêmicas pode elevar em até 85% a produtividade dos seus empregados. Abordaremos este assunto num próximo artigo!

Ficou com alguma dúvida sobre segregação de função? Sua empresa está passando por algo?

Entre em contato com nossos consultores e tire todas suas dúvidas.