10 dicas, em 4 etapas, para você implementar a Segregação de Funções em Sistemas de Informação.
Se existe perrengue em TI – e existem diversos, um dos mais desafiadores é o de tratar a segregação de funções, o famoso SoD (Segregation of Duties).
Numa empresa bem organizada, do ponto de vista de processos, normalmente estas coisas ou já estão bem definidas ou não representam um risco que pode ser notado, a menos que haja uma auditoria interna para identifica-lo.
Já numa empresa onde as funções não estão tão claras, e pasmem, elas existem e não são poucas, este tema torce no nariz do gestor de TI.
Minha experiência partiu de um misto entre estas duas situações, e considerando o sucesso da implementação, surgiu a ideia de escrever algumas dicas do aprendizado obtido.
Em primeiro lugar, este tema não deve ser tratado nem isoladamente nem sem o apoio do principal cliente, a área financeira.
Mais que um simples apoio, observe que normalmente quem tem uma demanda nata no quesito “controles internos”, são nossos pares financeiros e controllers.
Aqui vão as 10 Dicas, em 4 etapas, para um bom projeto de implementação de SoD
Etapa 1 – Preparação
1. Formalize o Projeto: Em primeiro lugar, estabeleça um projeto formal para implementação do SoD e obtenha aprovação do board da empresa, pois este trabalho toma um bom tempo de vários gestores importantes e envolve recursos caros da organização;
2. Defina o sponsor mais adequado: Embora seja um projeto onde a TI é essencial como ferramenta, bem como aquela que vai definir a forma, mesmo que o projeto parta da TI, considere ter como sponsor do projeto o CFO, ou cargo correspondente;
3. Máxima atenção na abrangência: Estabeleça um escopo coerente, ou seja, a abrangência em termos de processos com os quais se deseja aplicar o SoD.
Etapa 2 – Levantamento
4. Mapeie os processos: Inicie pelo mapeamento de processo, não dos departamentos – da sua organização, e identifique aqueles que estão dentro do escopo previamente definido;
5. Mapeie os sistemas: Identifique os sistemas ou módulos do ERP que, de alguma forma, suprem os processos definidos no item anterior;
Etapa 3 – Definição
6. Defina a Matriz de Funções: Crie uma matriz de funções x cargos e responsabilidades, e defina tipos e níveis de acesso necessários;
7. Defina bem as regras da segregação de funções: Considere, para isto, os conceitos já existentes em livros e papers, bem com boas práticas de mercado. Evite achismos e formas ou desejos pessoais dos gestores envolvidos. Envolva cargos estratégicos, como gerentes de áreas, supervisores e coordenadores;
8. Identifique os recursos sistêmicos disponíveis: Verifique no ERP – ou sistemas – que você está utilizando, quais recursos de segregação de função estão, de fato, disponíveis para serem aplicados. Muitos ERPs são falhos neste quesito, e aí vai ser um problema a implementação;
9. Obtenha a aprovação da alta administração: Após definir bem as regras e a forma de implementação, obtenha aprovação do Comitê de TI – se este existir, ou do board da empresa.
Etapa 4 – Implementação
10 . Implemente por ondas: Embora seja uma tendência nossa, como gestor de TI, querer se ver livre o mais breve possível deste perrengue, a recomendação é implementá-lo por ondas, ou seja, definir sistemas ou módulos de forma a implementar em períodos. Estes períodos podem ser semanas ou meses, dependendo da capacidade de execução de cada equipe de TI. Para isto, siga preferencialmente um modelo clássico de gerenciamento de projetos.
DICA EXTRA: Ao definir os módulos ou sistemas para a primeira onda de implantação, procure privilegiar, primeiro, aqueles cujo responsável da área não seja alguém de “trincheira”. Isto é, procure por gestores que possam apoiar o projeto e que sejam formadores de opinião entre seus pares. Você vai descobrir quem são estes caras observando duas virtudes: os gestores altamente sociáveis e os altamente solidários.
… e vale muito aqui, um “Boa Sorte”! 🙂
Um abraço,
Flávio Callegari