search
A mídia que reinventa a empresa
Registrar un software

[A matriz de segregação de funções da SOX

[A matriz de segregação de funções da SOX

Por Nicolas Payette

Em 23 de outubro de 2024

Os escândalos financeiros envolvendo várias empresas americanas no início dos anos 2000 (sendo a Enron a mais conhecida) levaram os Estados Unidos a reformar a contabilidade das empresas listadas na bolsa de valores para proteger os investidores. Essa lei de 2002, aprovada pelo Congresso dos EUA e conhecida como Sarbacanes-Oxley Act (ou SOX), impõe novos padrões financeiros às empresas com o objetivo de melhorar a confiabilidade das informações financeiras. Um desses padrões é a matriz SOX.
Falaremos sobre a matriz SOX daqui a pouco, mas primeiro vou responder a uma pergunta de um de nossos leitores.

Não é preciso dizer que agradeço todo o feedback, inclusive um comentário recente sobre meu artigo Segregação de Funções e seu Papel nas Questões de Conformidade com a Sarbanes-Oxley:

Hankewicz fez referência à Seção 404 em seu artigo "Segregation of Duties and its Role in Sarbanes-Oxley Compliance Issues". Ele afirmou que "essa seção (404) é uma lista abrangente de controles internos aceitos que as empresas devem ter em vigor para serem consideradas em conformidade com a SOX. A lista tem como alvo os controles internos do aplicativo e destaca as áreas em que é provável que ocorram relatórios fraudulentos." Gostaríamos muito que essa fosse uma "lista exaustiva". Na verdade, a adequação dos controles está sujeita à interpretação individual. NÃO HÁ "orientação fundamental nesta seção [para] segregação de funções".

Acredito que a introdução da SOX e da Seção 404 (Avaliação de Controle Interno) foi uma tentativa de restaurar a confiança dos investidores em organizações listadas após incidentes de alto perfil de atividades de relatórios fraudulentos. A Seção 404 afirma que um relatório de controle interno deve incluir relatórios financeiros de todas as organizações listadas. Concordo que a Seção 404 deixa muito espaço para interpretações individuais ao afirmar, em termos bastante gerais, que a administração da empresa é responsável por implementar uma "estrutura de controle interno adequada" e que todos os auditores devem ser capazes de atestar o nível de "controle interno" na organização.

Claramente, a Seção 404 foi a parte mais difícil de lidar da SOX. Entretanto, o Public Company Accountability Oversight Boardle (PCAOB) tentou desmistificar os elementos mais ambíguos da seção. Em 2004, o PCAOB emitiu a Norma de Auditoria nº 2 e, em 2007, emitiu o relatório de orientação da AS 5.

Esses relatórios de orientação foram modelados com base nos padrões estabelecidos pelo Committee of Sponsoring Organization of the Treadway Commission (COSO) (desde 1965).

As principais disposições incluem

  1. identificação dos principais elementos do relatório financeiro
  2. identificar os riscos associados aos elementos significativos do relatório financeiro nessas contas ou divulgações
  3. determinar quais controles no nível da transação abordarão esses riscos na ausência de controles no nível adequado de precisão
  4. determinar os controles no nível da transação que abordariam esses riscos na ausência de controles específicos no nível da entidade
  5. Determinar a natureza, a extensão e o momento da coleta de evidências para concluir a avaliação dos controles internos.

Mais informações podem ser encontradas nos sites do COSO e do PCAOB.

A matriz de segregação de funções da SOX

Um elemento fundamental do controle interno é a segregação de determinadas tarefas importantes. A ideia básica por trás da segregação de funções é que nenhum funcionário ou grupo deve estar em posição de cometer erros sistêmicos ou fraudes no curso normal dos negócios. Em geral, as principais tarefas incompatíveis que precisam ser segregadas são

  • custódia de ativos
  • autorizar ou aprovar transações relacionadas que afetem esses ativos
  • registro ou relatório de transações relacionadas
  • execução da(s) transação(ões)

Uma característica essencial da segregação de funções/responsabilidades em uma organização é que nenhum funcionário ou grupo de funcionários de uma empresa dos EUA tenha controle ilimitado sobre qualquer transação ou grupo de transações.

Com base nos critérios acima, construí uma matriz para destacar as tarefas realizadas por um indivíduo ou grupo de indivíduos que poderiam levar a uma segregação inadequada de funções.

A matriz está dividida em três partes:

  1. Contabilidade e controle de estoque
  2. Despesas e controle financeiro
  3. Organização e infraestrutura de TI

Cada guia tem quatro áreas principais:

  • Da esquerda para a direita, cada seção lista um conjunto de atividades, com um total de 98 atividades nas três guias.
  • A coluna da extrema esquerda lista as funções individuais das pessoas que normalmente executam os critérios da atividade
  • Verifiquei as células em que as funções estão alinhadas com as atividades, o que permite identificar facilmente possíveis áreas de conflito.
  • Na parte inferior de cada guia, resumi o número total de responsabilidades sobrepostas e atribuí um fator de risco:

Alto: 0-4 responsabilidades sobrepostas
Médio: 5 a 9 responsabilidades sobrepostas
Baixo: mais de 9 responsabilidades sobrepostas

Os fatores de risco baseiam-se em princípios contábeis geralmente aceitos, bem como nos princípios da Seção 404 da SOX. Eles foram criados como uma diretriz para avaliar as organizações e destacar as áreas que requerem ajustes adicionais.

Quanto mais pessoas observarem uma atividade, menor será o risco de atividade fraudulenta para sua organização. Criei uma seção (azul escuro) na qual você pode avaliar sua própria organização.

O objetivo é garantir que haja suficiente segregação de funções e que haja uma série de verificações e balanços para minimizar o risco de fraude.

Artigo traduzido do francês