Glossário IAM

O que é Combinação Tóxica?

Combinação Tóxica é uma combinação de acessos que, mesmo individualmente legítima, viola segregação de funções (SoD) e cria risco material de fraude ou erro.

Toxic Combination Glossário IAM

O que significa Combinação Tóxica?

Combinação Tóxica, ou combinação tóxica, é o termo usado em SoD (Segregation of Duties) para identificar dois ou mais entitlements que, sozinhos, são aceitáveis, mas juntos no mesmo usuário criam risco de fraude, erro material ou violação de controle interno. É o foco principal de auditoria SOX e ISO 27001.

Como identificar Combinação Tóxicas?

O processo começa pelo desenho da matriz SoD em conjunto com áreas de negócio (financeiro, fiscal, RH). Cada combinação proibida é registrada com justificativa do risco. A plataforma IGA valida toda solicitação e periodicamente varre acessos atuais procurando combinações que escaparam — exceções aprovadas são tratadas separadamente.

Por que Combinação Tóxicas importam?

Histórico de fraudes corporativas (Enron, WorldCom, Tyco) mostra que a maioria envolve combinação tóxica não detectada. SOX, ISO 27001 e LGPD pressupõem matriz SoD ativa. Auditores priorizam essa verificação porque é o controle de maior impacto sobre integridade de relatórios financeiros.

Exemplos clássicos de Combinação Tóxicas

  • Cadastrar fornecedor + aprovar pagamento: cria fornecedor falso e paga.
  • Aprovar pedido + receber mercadoria: confirma recebimento fictício.
  • Lançar despesa + aprovar contas a pagar: aprova a própria despesa pessoal.
  • Cadastrar funcionário + alterar folha: cria funcionário fantasma.
  • Modificar configuração de SoD + executar transação: desliga o controle e age.

Exemplo prático de Combinação Tóxica

Um analista financeiro tem permissão para cadastrar fornecedores no SAP (papel: Cadastro). Ele recebe transferência temporária para o time de tesouraria e ganha permissão para aprovar pagamentos (papel: Aprovação). A matriz SoD detecta a combinação tóxica imediatamente: o sistema bloqueia a aprovação até que o gestor decida — ou revogar o papel anterior, ou registrar exceção formal com mitigação compensatória (revisão por terceiro, por exemplo).

Como tratar Combinação Tóxicas existentes?

Após detecção, três caminhos: (1) revogar o entitlement menos crítico; (2) registrar exceção formal com mitigação compensatória (controle dual, revisão pós-fato); (3) redesenhar o processo se a combinação reflete uma falha estrutural. Cada decisão fica registrada como evidência para auditoria.

Riscos e cuidados

Matriz SoD genérica gera muitos falsos positivos e perde credibilidade — o time desliga ou ignora. Boa prática: começar com 30-60 regras de alto impacto, calibrar com dados reais, expandir gradualmente. Exceções sem revisão periódica viram regra implícita; auditoria sempre pede o histórico de exceções.

Termos relacionados

Ir para o Glossário de IAM
Logo da AccessOne no rodapé

FORTALEZA
Av. Washington Soares, 3663, Torre 1, Salas 1107/1108, Edifício WSTC

SÃO PAULO
Alameda Vicente Pinzon, 54 • Vila Olímpia • 04547-130 • São Paulo • SP

Ícone do LinkedIn da AccessOne
Selo de segurança AccessOne

* Quadrante Mágico do Gartner de Identity and Access Governance de 2019. Gartner e Magic Quadrant são marcas comerciais ou marcas registradas de seus respectivos detentores. O uso delas não implica nenhuma afiliação ou endosso por parte deles. O documento é acessível para clientes registrados junto ao Gartner.
©️ AccessOne 2026. Todos os direitos reservados. Política de privacidade