Imagine que o mesmo funcionário cadastra um fornecedor, aprova o pagamento e reconcilia o lançamento contábil. Cada etapa, isolada, parece rotineira. Juntas, formam uma das vulnerabilidades mais exploradas em fraudes corporativas — e uma das mais difíceis de detectar sem o controle certo.

Esse cenário não é hipotético. O relatório anual da Association of Certified Fraud Examiners (ACFE) de 2024 analisou 1.921 casos reais de fraude ocupacional em 138 países e identificou que organizações perdem, em média, 5% da receita anual com esse tipo de problema. Mais revelador: mais de 50% dos casos ocorreram por ausência de controles internos ou pela possibilidade de contorná-los.

A Segregação de Funções — SoD, do inglês Segregation of Duties — existe para fechar essa janela. E a Matriz SoD é a ferramenta que torna esse controle visível, estruturado e auditável.

O que é Segregação de Funções

A Segregação de Funções é um princípio de controle interno que determina que nenhuma pessoa deve ter controle completo sobre uma transação crítica do início ao fim.

O fundamento é simples: quando as etapas de um processo estão nas mãos de um único indivíduo, o risco de erro não detectado — e de fraude deliberada — aumenta de forma significativa.

O framework COSO, referência internacional para controles internos, posiciona a SoD como um dos pilares do ambiente de controle eficaz. A lógica é a mesma de um requisito de dupla assinatura em um cheque de alto valor: não é desconfiança, é estrutura.

Na prática, a SoD divide as responsabilidades em quatro funções que precisam estar separadas:

• Autorização — quem aprova a transação ou operação

• Execução / Custódia — quem realiza a operação ou tem acesso ao ativo

• Registro — quem documenta e lança nos sistemas

• Reconciliação — quem verifica e confirma a integridade dos registros

Quando duas ou mais dessas funções se concentram na mesma pessoa, surge o que o mercado chama de conflito SoD — a combinação de acessos incompatíveis existe. Quando essa pessoa efetivamente utiliza os dois acessos, temos uma violação SoD — o risco se materializou.

Essa distinção é relevante porque muitas organizações monitoram apenas as violações, quando o trabalho real começa na identificação e eliminação dos conflitos antes que se tornem incidentes.

Como funciona na prática: exemplos por área

A aplicação da SoD atravessa todas as áreas que operam processos financeiros ou de alto risco. Os conflitos mais comuns seguem padrões bem documentados:

Financeiro / Contas a Pagar → Quem cadastra fornecedor não deve aprovar pagamentos → Quem lança despesas não deve reconciliar as contas → Quem aprova pedidos de compra não deve receber os itens

Folha de Pagamento → Quem admite um colaborador no sistema não deve processar a folha → Quem altera dados cadastrais não deve autorizar o pagamento → Quem cria perfis de acesso não deve auditar sua própria criação

TI e Desenvolvimento de Sistemas → Quem desenvolve o código não deve testá-lo e colocá-lo em produção → Quem provisiona acessos privilegiados não deve aprovar sua própria concessão → Quem configura o ambiente não deve auditar as mudanças realizadas

Compras e Procurement → Quem requisita a compra não deve selecionar o fornecedor nem aprovar o pagamento

Esses exemplos parecem óbvios quando descritos assim. O problema é que, em sistemas ERP complexos como SAP, Oracle ou Workday, os acessos não são concedidos por "função de negócio", mas por combinações de perfis, papéis e transações técnicas.

Um usuário pode acumular centenas de permissões ao longo do tempo, sem que ninguém perceba que o conjunto delas representa um conflito crítico.

O que é a Matriz SoD e como ela é estruturada

A Matriz SoD é a ferramenta que torna o controle de segregação de funções visível e gerenciável. Em sua forma mais básica, ela é uma grade que cruza funções incompatíveis entre si, mapeando quais combinações representam risco alto, médio ou baixo para a organização.

Uma Matriz SoD bem estruturada deve conter:

• Mapeamento de funções críticas — quais atividades, transações e permissões existem nos sistemas.

• Identificação de combinações incompatíveis — quais pares de funções não devem coexistir na mesma pessoa.

• Classificação de risco por conflito — alto, médio ou baixo, com base no impacto financeiro e regulatório.

• Controles compensatórios — para situações em que a segregação total não é viável, quais controles adicionais mitigam o risco aceito.

• Rastreabilidade de evidências — trilha auditável de quem tem o quê, revisada e validada periodicamente.

A matriz não é um documento estático. É uma estrutura viva que precisa acompanhar contratações, desligamentos, mudanças de perfil e atualizações de sistemas.

Uma matriz construída hoje e não revisada em seis meses já não reflete a realidade operacional da empresa — e uma auditoria vai identificar essa defasagem.

Quais frameworks e regulações exigem SoD

A Segregação de Funções não é uma boa prática opcional. É um requisito explícito nos principais frameworks regulatórios que governam empresas de médio e grande porte:

SOX — Sarbanes-Oxley Act, Seção 404

A SOX exige que a alta administração avalie e declare anualmente a eficácia dos controles internos sobre o reporte financeiro. A SoD é um dos controles centrais dessa avaliação.

A ausência ou ineficácia da segregação é uma das causas mais frequentes de "fraquezas materiais", falhas que precisam ser divulgadas publicamente e que geram consequências diretas sobre o preço das ações, o custo de capital e o relacionamento com auditores externos.

COSO

O Committee of Sponsoring Organizations of the Treadway Commission é o framework de referência global para controles internos. A SoD está no núcleo do componente "Ambiente de Controle" do modelo COSO — o alicerce sobre o qual todos os outros controles se apoiam.

ISO 27001

A norma internacional de segurança da informação estabelece no Controle A.6.1.2 (versão 2013) e A.5.3 (versão 2022) que funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir oportunidades de modificação não autorizada ou uso indevido de ativos. Isso se aplica tanto a sistemas financeiros quanto a ambientes de TI.

LGPD

A Lei Geral de Proteção de Dados incorpora o princípio da necessidade: cada colaborador deve acessar apenas os dados estritamente necessários para o exercício de sua função. A ausência de segregação adequada cria riscos de acesso indevido a dados pessoais — com implicações legais diretas.

COBIT

O framework de governança de TI da ISACA incorpora SoD na gestão de acessos e controles de sistemas, especialmente em ambientes que suportam processos financeiros críticos.

A convergência desses frameworks em torno da SoD não é coincidência. É o reconhecimento de que a concentração de funções críticas em uma única pessoa é um vetor de risco transversal — presente em qualquer setor, tamanho de empresa ou modelo de operação.

Por que tantas empresas ainda têm dificuldade com SoD

Se o conceito é consolidado e os frameworks são claros, por que a SoD continua sendo uma das principais fontes de achados em auditorias?

A resposta está na complexidade operacional — não na falta de intenção.

Em um sistema ERP moderno, um único usuário pode acumular dezenas ou centenas de permissões ao longo do tempo. Cada nova responsabilidade gera um novo acesso. Cada mudança de área carrega os acessos anteriores.

O resultado é uma malha de permissões que nenhuma planilha consegue analisar com precisão — e que cresce silenciosamente a cada ciclo.

Os desafios mais recorrentes que as equipes de GRC e auditoria interna enfrentam:

• Volume de combinações: em ambientes SAP ou Oracle de médio porte, o número de cruzamentos possíveis de perfis e transações pode chegar a milhares — inviável para análise manual.

• Falsos positivos: o modelo tradicional de planilha aponta conflitos que, na prática, não representam risco real por conta de restrições técnicas subjacentes — gerando fadiga de auditoria e revisões por omissão.

• Governança "point-in-time": a matriz é construída em um momento, validada, assinada — e já está desatualizada quando chega ao auditor, porque o ambiente de acessos mudou durante o processo.

• Falta de rastreabilidade: sem versionamento e trilha de evidências, cada ciclo de auditoria recomeça do zero.

Esses desafios não são novos. O que mudou é a disponibilidade de tecnologia capaz de endereçá-los de forma estruturada — com IA para identificar conflitos reais, eliminar falsos positivos e manter a matriz atualizada de forma contínua, não periódica.

Baixe agora nosso e-book exclusivo e saiba como acabar com os gaps com o auxílio de inteligência artificial

Agora, sua matriz está pronta e já está desatualizada

A Segregação de Funções é um dos controles internos mais fundamentais da governança corporativa, e a Matriz SoD é o instrumento que torna esse controle rastreável, auditável e defensável perante qualquer nível de escrutínio regulatório.

Não é burocracia. É a estrutura que garante que nenhuma pessoa concentre poder suficiente para cometer e ocultar erros ou fraudes em processos críticos.

Frameworks como SOX, COSO, ISO 27001 e LGPD convergem nesse ponto porque o risco que a SoD mitiga é universal, independente de setor, tamanho ou modelo de operação.

O desafio real não está em entender o conceito. Está em operacionalizá-lo com a precisão e continuidade que ambientes complexos exigem.

Para organizações que precisam construir ou atualizar suas matrizes SoD com rastreabilidade, eliminação de falsos positivos e aderência a frameworks regulatórios, a Vennx desenvolveu o SoD Discovery, a primeira solução brasileira de construção automatizada de matrizes SoD com inteligência artificial.

Conheça o SoD Discovery da Veenx e mantenha sua estrutura organizacional atualizada.

‍