Guia para a implementação de controles compensatórios em empresas

Prezados,

Neste documento, gostaria de compartilhar como definir controles de mitigação/compensação do ponto de vista empresarial. A mitigação só traz resultados desejados quando um risco potencial é adequadamente segregado ou controlado.

Devido a um número quase ilimitado de possíveis conflitos de segregação de funções, é necessário definir os conflitos importantes (para sua empresa) e projetar e implementar regras para identificar os riscos dentro de GRC. Além disso, é necessário lidar com os conflitos SOD selecionados por meio de segregação de funções ou controles compensatórios.

Além disso, é importante considerar que a segregação de funções só é plenamente alcançada quando tanto a implementação da segregação nos processos (Usuário A cria um registro, enquanto o Usuário B o revisa) quanto a restrição adequada de direitos de acesso nas aplicações SAP estão presentes simultaneamente.

Caso a segregação de funções não possa ser alcançada devido à falta de pessoal ou outras razões, controles compensatórios (controles alternativos) devem ser implementados para minimizar os riscos de acumulação de funções. Esses controles de detecção são menos desejáveis do que a segregação de funções, que é um controle preventivo. Abaixo estão listados os diversos tipos de controles compensatórios que a gestão deve considerar implementar quando houver uma segregação inadequada de funções incompatíveis:

• Segunda assinatura: por exemplo, são necessárias duas assinaturas para autorizar pagamentos bancários, início de transferências de salário, ordens de compra, etc.
• Revisão por um supervisor: por exemplo, o relatório diário de lançamentos no diário revisado e assinado pelo supervisor da pessoa responsável pelos lançamentos no diário.
• Relatórios de exceção: esses relatórios devem ser revisados prontamente, verificados com documentos de suporte que evidenciem a autorização e assinados pelo supervisor. Alguns exemplos de relatórios (preferencialmente relatórios padrão do SAP e gerados pelo sistema):
  • Relatório de alterações feitas em contas de G/L -> relatório de contas de GL atualizadas/abertas
  • Relatório de registros contabilizados em contas de provisões
  • Relatório sobre partidas pendentes resultantes de conciliações (por exemplo, conciliação bancária, conciliações de G/L e subcontas, etc.)
  • Lista de ajustes para um período anterior
  • Relatório de pagamentos acima de um determinado limite
  • Relatório de alterações feitas em dados mestre de clientes
  • etc. etc.
• Revisão detalhada e independente de transações para o departamento ou função. Por exemplo, quando um usuário pode realizar todas as atividades-chave de uma transação sem uma segregação adequada de funções, uma revisão independente detalhada das transações do departamento deve ser realizada regularmente para identificar, investigar e corrigir transações impróprias/erradas. Isso definitivamente deve ser feito por uma segunda pessoa independente.
• Revisão aleatória de transações: a gestão deve revisar periodicamente uma amostra de transações e compará-las com os documentos de suporte.

Além disso, é altamente recomendado que os controles compensatórios sejam revisados e verificados periodicamente por uma pessoa independente (por exemplo, auditoria interna) para garantir que os controles alternativos estejam funcionando corretamente.

Espero contribuições sobre o assunto para obter também outras opiniões de pessoas envolvidas no design de processos para controles compensatórios.

Obrigado por ler.

Atenciosamente,

Alessandro