oHub Base Gestão / Financeiro / BPO Financeiro / Artigos / Controles e segurança ao dar acesso financeiro a terceiros
Neste artigo: Como este tema funciona no porte da sua empresa Princípios básicos de controle de acesso financeiro a terceiros Como configurar o acesso no internet banking Como configurar o acesso no ERP Alçadas de aprovação de pagamentos: quem aprova e com qual limite O que manter sempre sob controle interno Protocolo de revogação de acesso ao encerrar o contrato Sinais de que os controles de acesso do BPO precisam ser revistos Caminhos para estruturar o controle de acesso do BPO financeiro Quer estruturar os controles de acesso do seu BPO financeiro de forma segura? Perguntas frequentes Como controlar o acesso financeiro do BPO? O BPO pode ter acesso à conta bancária da empresa? Como dar acesso seguro ao BPO sem perder o controle? Quais controles internos implementar com um BPO financeiro? Como registrar as operações feitas pelo BPO nos sistemas da empresa? Fontes e referências
oHub Base Gestão Financeiro BPO Financeiro

Controles e segurança ao dar acesso financeiro a terceiros

Defina controles e regras de acesso que protegem a empresa ao envolver terceiros no financeiro.
Atualizado em: 01 de junho de 2026
Neste artigo: Como este tema funciona no porte da sua empresa Princípios básicos de controle de acesso financeiro a terceiros Como configurar o acesso no internet banking Como configurar o acesso no ERP Alçadas de aprovação de pagamentos: quem aprova e com qual limite O que manter sempre sob controle interno Protocolo de revogação de acesso ao encerrar o contrato Sinais de que os controles de acesso do BPO precisam ser revistos Caminhos para estruturar o controle de acesso do BPO financeiro Quer estruturar os controles de acesso do seu BPO financeiro de forma segura? Perguntas frequentes Como controlar o acesso financeiro do BPO? O BPO pode ter acesso à conta bancária da empresa? Como dar acesso seguro ao BPO sem perder o controle? Quais controles internos implementar com um BPO financeiro? Como registrar as operações feitas pelo BPO nos sistemas da empresa? Fontes e referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona no porte da sua empresa

Pequena (até 50 funcionários)

O acesso costuma ser mais amplo por falta de estrutura para segmentar. O mínimo indispensável: senhas individuais para os operadores do BPO (nunca a senha do sócio), usuário próprio nos sistemas e manutenção da aprovação de pagamentos sempre na empresa. Internet banking com perfil de operador — sem poderes de aprovação — está disponível nos principais bancos e não exige infraestrutura de TI.

Média (51–500 funcionários)

A segregação de acessos é viável via ERP e internet banking com perfis diferenciados. O BPO acessa para lançar e consultar; a empresa aprova dentro das alçadas definidas. Logs de operação estão disponíveis nos principais ERPs e bancos e devem ser ativados e revisados periodicamente.

Grande (+500 funcionários)

Acessos são governados por política formal, com autenticação de dois fatores, auditoria de log e revisão periódica de permissões. O princípio do menor privilégio — acesso mínimo necessário — é aplicado sistematicamente a qualquer terceiro, incluindo o BPO.

Dar acesso financeiro a um BPO sem controles adequados é o erro mais comum — e mais perigoso — na gestão da terceirização. Os controles corretos não são sofisticados: são princípios simples de segurança operacional que qualquer empresa consegue implementar com as ferramentas que já tem. O ponto central é que o BPO deve ter acesso ao que precisa para executar o escopo combinado — e não mais do que isso.

Princípios básicos de controle de acesso financeiro a terceiros

Quatro princípios sustentam qualquer política de acesso seguro a sistemas financeiros por terceiros, independentemente do porte da empresa:

  1. Acesso mínimo necessário: o BPO acessa somente os módulos, contas e funcionalidades que precisa para executar o escopo contratado. Acesso a informações além do escopo — outras contas bancárias, módulos de outros departamentos, relatórios gerenciais não contratados — é negado por padrão.
  2. Segregação de funções: quem lança não aprova, quem aprova não concilia. No contexto de BPO, isso significa: o operador do BPO lança pagamentos para aprovação, o responsável interno aprova, e o BPO (ou outro operador) faz a conciliação do que foi executado.
  3. Usuário individual por operador: cada pessoa do BPO que acessa os sistemas da empresa deve ter sua própria credencial — nunca credencial compartilhada, nunca a mesma senha do gestor ou do analista interno. Usuário compartilhado torna o log inutilizável para rastreamento.
  4. Log de operações rastreável: todas as operações do BPO nos sistemas devem ser registradas com data, hora e usuário. O log não precisa ser monitorado em tempo real — mas precisa existir e ser acessível para auditoria quando necessário.

Como configurar o acesso no internet banking

Os principais bancos brasileiros permitem criar usuários operadores com permissões distintas do titular da conta. A configuração correta para o BPO:

  • Criar usuário específico para cada operador do BPO (nome individual, não "BPO empresa").
  • Atribuir perfil de operador — permite lançar transferências e boletos para aprovação, mas não executar sem aprovação do titular ou do aprovador interno.
  • Nunca atribuir perfil de aprovador ao BPO.
  • Ativar notificações para o e-mail ou celular do responsável interno a cada operação lançada pelo BPO.
  • Ao encerrar o contrato: desativar ou remover os usuários do BPO imediatamente — antes de comunicar o encerramento ao fornecedor.

A maioria dos bancos digitais e dos bancos tradicionais com plataforma de empresas tem essa funcionalidade. Se o banco usado não tiver, é um ponto de risco que precisa ser mitigado de outra forma — como aprovação por e-mail registrado ou outra ferramenta de controle.

Como configurar o acesso no ERP

No ERP, o acesso do BPO deve ser configurado em perfis com permissões específicas:

  • Perfil de lançamento: permite inserir e editar registros (notas fiscais, lançamentos de contas a pagar e receber, conciliação). Não permite aprovar pagamentos nem alterar cadastro de fornecedores ou clientes.
  • Perfil de consulta: para relatórios e visualização sem poder de edição. Pode ser concedido a analistas do BPO que precisam de contexto sem operar.
  • O que não conceder ao BPO: perfil de administrador do sistema, acesso a módulos de outros departamentos (RH, estoque, compras) além do financeiro, permissão de exclusão de registros sem rastreabilidade.

A revisão de perfis de acesso do BPO no ERP deve acontecer ao menos uma vez por ano ou quando houver mudança de escopo contratual. Perfis concedidos para uma fase do onboarding e não revisados depois são um risco silencioso.

Alçadas de aprovação de pagamentos: quem aprova e com qual limite

A tabela de alçadas define quem pode aprovar cada tipo de pagamento dentro da empresa, em função do valor e do tipo de despesa. O BPO nunca aparece como aprovador — ele prepara e agenda; a aprovação é sempre de um responsável interno.

Pequena (até 50 funcionários)

Alçada única: todos os pagamentos são aprovados pelo sócio ou gestor. Como orientação prática, pagamentos abaixo de um valor definido (ex: fornecedores recorrentes com condições estabelecidas) podem ser liberados para aprovação automática — acima, exige confirmação manual. O limite varia conforme o perfil financeiro da empresa.

Média (51–500 funcionários)

Dois ou três níveis: pagamentos rotineiros a fornecedores cadastrados abaixo de um valor são aprovados pelo analista financeiro interno; acima do limite ou para novos fornecedores, o gerente financeiro aprova; pagamentos excepcionais acima de outro limite, o diretor ou sócio aprova. O BPO prepara a relação com os valores e os responsáveis aprovam dentro do prazo combinado.

Grande (+500 funcionários)

Política formal de alçadas com valores, cargos autorizadores e exceções documentadas. Sistemas de workflow de aprovação integrados ao ERP ou ao internet banking. O BPO opera estritamente dentro dos limites e jamais escala além do protocolo definido.

O que manter sempre sob controle interno

Independente do porte ou do modelo de BPO, cinco elementos nunca devem ser delegados ao fornecedor:

  1. Senha de administrador de qualquer sistema financeiro da empresa.
  2. Token ou acesso a aplicativos bancários pessoais de sócios.
  3. Aprovação de qualquer pagamento — mesmo os de baixo valor — sem que exista alçada interna definida.
  4. Acesso a certificados digitais da empresa (e-CNPJ, e-CPF de sócios).
  5. Decisão sobre onde aplicar caixa excedente ou como cobrir deficit de caixa.

Protocolo de revogação de acesso ao encerrar o contrato

O encerramento do contrato com o BPO precisa incluir um protocolo de revogação de todos os acessos concedidos. A ordem correta:

  1. Antes de comunicar formalmente o encerramento ao BPO: revogar os acessos ao internet banking de todos os usuários do fornecedor.
  2. No mesmo dia: alterar as senhas de qualquer sistema compartilhado durante o contrato.
  3. No ERP: desativar ou remover os perfis de acesso dos operadores do BPO.
  4. Confirmar com o responsável do BPO que os dados da empresa foram deletados dos sistemas internos do fornecedor — conforme o previsto no DPA.
  5. Guardar o log de operações do período de contrato para referência futura.

Revogar o acesso antes de comunicar o encerramento não é desconfiança — é procedimento padrão. Fornecedores sérios entendem e documentam isso no próprio contrato de saída.

Sinais de que os controles de acesso do BPO precisam ser revistos

Se você se reconhece em três ou mais cenários abaixo, os controles de acesso ao BPO financeiro têm lacunas que precisam ser corrigidas.

  • O BPO usa a mesma senha do sócio ou do gerente financeiro para acessar os sistemas.
  • Não é possível rastrear quais operações foram feitas pelo BPO e quais foram feitas internamente — o log não existe ou não é acessível.
  • O BPO tem autorização para aprovar ou executar pagamentos sem aprovação interna definida.
  • O acesso concedido ao BPO nunca foi revisado desde a contratação — possivelmente inclui permissões que não são mais necessárias.
  • Não há procedimento documentado para revogar o acesso do BPO em caso de encerramento do contrato.

Caminhos para estruturar o controle de acesso do BPO financeiro

Há dois caminhos para implementar os controles de acesso, e a escolha depende da capacidade técnica interna e da complexidade dos sistemas usados.

Implementação interna

Configurar os perfis de acesso internamente, usando as funcionalidades disponíveis no ERP e no internet banking.

  • Perfil necessário: analista ou gestor com acesso de administrador aos sistemas para configurar os perfis e ativar os logs.
  • Tempo estimado: 1 a 2 semanas para configurar os acessos e criar o protocolo de revisão periódica.
  • Faz sentido quando: a empresa usa sistemas com funcionalidades de perfil de acesso e tem alguém com conhecimento técnico para configurar.
  • Risco principal: configuração incorreta de perfis que concede mais acesso do que o necessário por desconhecimento das funcionalidades do sistema.
Com apoio especializado

Contar com suporte técnico do ERP, consultoria de TI ou do próprio BPO para configurar os acessos de forma segura.

  • Tipo de fornecedor: BPO Financeiro, Consultoria Financeira, ERP (Sistemas de Gestão).
  • Vantagem: configuração correta desde o início, sem risco de perfis com permissões excessivas por erro de configuração.
  • Faz sentido quando: a empresa não tem conhecimento técnico para configurar perfis no ERP ou quer garantir que a política de acesso está alinhada às melhores práticas.
  • Resultado típico: acesso configurado corretamente em 1 a 2 semanas, com política documentada e protocolo de revisão periódica definido.

Quer estruturar os controles de acesso do seu BPO financeiro de forma segura?

Se os controles de acesso ao BPO financeiro ainda precisam ser implementados ou revistos, o oHub conecta a sua empresa, de forma gratuita, a fornecedores de BPO financeiro e consultoria. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.

Encontrar fornecedores de Gestão no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Como controlar o acesso financeiro do BPO?

Configurando usuários individuais para cada operador do BPO nos sistemas financeiros, com perfis de lançamento e consulta — nunca de aprovação ou administrador. Ativando o log de operações para rastreabilidade. Mantendo a aprovação de pagamentos sempre com um responsável interno dentro das alçadas definidas.

O BPO pode ter acesso à conta bancária da empresa?

Sim, mas apenas com perfil de operador — que permite lançar pagamentos para aprovação, sem executar de forma autônoma. O perfil de aprovador e o acesso de administrador nunca devem ser concedidos ao BPO. Cada operador do fornecedor deve ter credencial individual, não compartilhada.

Como dar acesso seguro ao BPO sem perder o controle?

Aplicando os quatro princípios básicos: acesso mínimo necessário, segregação de funções (quem lança não aprova), usuário individual por operador e log de operações rastreável. Esses controles garantem que o BPO opera com eficiência dentro do escopo combinado e que qualquer operação é rastreável para auditoria.

Quais controles internos implementar com um BPO financeiro?

Os controles essenciais são: perfis de acesso mínimo nos sistemas, alçadas de aprovação definidas por valor e tipo de despesa, log de operações ativado, revisão periódica dos acessos concedidos e protocolo de revogação ao encerrar o contrato. Para empresas médias e grandes, cláusula de confidencialidade e DPA no contrato são também obrigatórios.

Como registrar as operações feitas pelo BPO nos sistemas da empresa?

Ativando o log de operações disponível no ERP e no internet banking — que registra data, hora, usuário e operação realizada. Para isso funcionar, cada operador do BPO precisa ter credencial individual: um log com usuário compartilhado não permite identificar quem fez o quê.

Fontes e referências

  1. Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD) — princípio do menor acesso e responsabilidades do operador. Presidência da República. Disponível em: planalto.gov.br.
  2. Conselho Federal de Contabilidade (CFC). Normas sobre controles internos e segregação de funções em processos financeiros. CFC.

Leia também