Aprovação de pagamentos: alçadas e controles antifraude

O que é alçada de aprovação e por que ela existe

A alçada de aprovação é o mecanismo que impede que uma única pessoa decida e execute um pagamento sem nenhuma revisão. Não é burocracia — é proteção contra fraude, erro e pagamento indevido. Em empresas que não têm alçadas formalizadas, qualquer pessoa com acesso ao internet banking pode, na prática, pagar qualquer valor para qualquer conta, sem que ninguém perceba até a conciliação.

A eficácia do controle depende de três princípios combinados: (1) quem lança o pagamento não aprova; (2) quem aprova não executa; (3) quanto maior o valor, mais alto o nível de aprovação exigido. Esse tripé, aplicado de forma consistente, reduz drasticamente a exposição a fraudes internas e erros operacionais.

Como montar a matriz de alçadas de pagamento

A matriz de alçadas define, por faixa de valor, quem pode aprovar pagamentos e em que condições. Não existe um modelo único — os valores devem ser calibrados para o porte e o perfil de operação de cada empresa.

Estrutura básica de uma matriz de alçadas:

1. Faixa 1 — valor baixo: aprovado pelo próprio analista financeiro que lançou, sem necessidade de revisor adicional. Faz sentido para pagamentos de baixo valor e alto volume (exemplo: despesas operacionais rotineiras).
2. Faixa 2 — valor médio: aprovado pelo gerente financeiro ou supervisor, após conferência dos dados. Cobre a maioria dos pagamentos a fornecedores.
3. Faixa 3 — valor alto: exige dupla aprovação — gerente mais diretor financeiro, ou diretor mais sócio. Cobre pagamentos relevantes que merecem atenção extra.
4. Faixa 4 — pagamentos urgentes fora da rotina: qualquer pagamento que não segue o fluxo normal (solicitado por e-mail, urgência alegada, fornecedor novo) deve ter aprovação mínima de Faixa 3, independentemente do valor.

Regra inegociável: quem lança o pagamento no sistema nunca pode ser a mesma pessoa que o aprova. Mesmo em empresas pequenas, essa separação deve existir para pelo menos os pagamentos acima de um limite definido internamente.

Controles antifraude específicos do contas a pagar

Os controles antifraude do contas a pagar são distintos das alçadas: enquanto as alçadas controlam quem autoriza, os controles antifraude protegem contra manipulação dos dados que chegam ao processo de pagamento. Os três controles mais críticos são:

1. Verificação de dados bancários de fornecedor: nunca alterar os dados bancários de um fornecedor por e-mail sem confirmação por canal independente. O procedimento padrão é ligar para o número de telefone previamente cadastrado — não para o número informado no e-mail de solicitação — e confirmar a alteração. Qualquer alteração de dado bancário deve ter aprovação de pelo menos dois níveis hierárquicos.
2. Checagem de CNPJ antes do primeiro pagamento a fornecedor novo: consultar a situação cadastral do CNPJ na Receita Federal (consulta gratuita em receita.economia.gov.br) antes de realizar qualquer pagamento a um fornecedor novo. CNPJ inapto, suspenso ou com situação irregular é sinal de alerta.
3. Revisão de pagamentos acima do histórico do fornecedor: pagamento a fornecedor em valor muito acima do histórico deve acionar verificação manual — conferir se há nota fiscal correspondente, se o serviço ou produto foi efetivamente entregue e se a alçada correspondente foi ativada.

Os golpes mais comuns que o gestor financeiro precisa conhecer

Três modalidades de golpe concentram a maioria dos casos reportados em empresas brasileiras no contas a pagar.

Golpe do e-mail de fornecedor: o fraudador envia um e-mail falso — com domínio parecido com o do fornecedor real — pedindo a alteração dos dados bancários para pagamento de um boleto específico. O financeiro, sem verificar por canal independente, altera o cadastro e paga para a conta do fraudador. O fornecedor real não recebe, e o pagamento é irrecuperável. A proteção é simples: toda alteração de dado bancário exige confirmação por ligação para o número cadastrado previamente.

Fornecedor fantasma: um colaborador interno cria um CNPJ (próprio ou de terceiro) e o cadastra como fornecedor, emitindo notas fiscais por serviços que não foram prestados. Os pagamentos são aprovados por alçada normal, sem que ninguém perceba a fraude. A proteção é a auditoria periódica do cadastro de fornecedores — especialmente fornecedores com poucos pagamentos, valores redondos ou sem nota fiscal vinculada.

Golpe do boleto adulterado: um boleto legítimo tem o código de barras substituído por outro que direciona o pagamento para conta do fraudador. A proteção é sempre confirmar o CNPJ do beneficiário exibido pelo internet banking antes de executar o pagamento — ele deve corresponder ao fornecedor esperado.

Registro de auditoria: o que manter e por quanto tempo

O registro de auditoria do contas a pagar deve conter, para cada pagamento: data e hora do lançamento, quem lançou, quem aprovou (com identificação de nível), data e valor do pagamento, CNPJ e nome do beneficiário, número da nota fiscal vinculada e comprovante de pagamento. Esse conjunto permite rastrear qualquer pagamento retroativamente e é insumo para auditorias externas e investigações de fraude.

O prazo mínimo de guarda de documentos fiscais é de cinco anos (prazo decadencial tributário), mas comprovantes de pagamento relacionados a contratos de longo prazo devem ser mantidos pelo menos pelo prazo do contrato mais cinco anos. O registro digital integrado ao ERP é o mais seguro — evita perda de comprovantes físicos e facilita a recuperação por período ou por beneficiário.