Segurança da Informação

SOX – LEI SARBANES-OXLEY

Em julho de 2002, o Presidente George W. Bush assinou a Lei Sarbanes-Oxley, apresentada Pelos senadores Paul Sarbanes e Michael Oxley. motivada por escândalos coorporativos onde as organizações Enron (do setor de energia) e WorldCom (telecomunicações), entre outras empresas, que geraram prejuízos financeiros atingindo milhares de investidores.

A mesma visa evitar a fuga dos investidores de empresas de capital aberto, criando mecanismo de auditoria e segurança das informações financeiras, evitando que os administradores façam mudanças financeiras na real situação das mesmas, ou assegurar que quando haja alguma mudança é possível identificá-las e punir os responsáveis, mudando desta forma a governança corporativa.

A Lei tem como objetivo garantir a transparência na gestão financeira, aumentar a credibilidade na contabilidade. A lei visa garantir a transparência na gestão financeira das organizações, credibilidade na contabilidade, auditoria e a segurança das informações para que sejam realmente confiáveis, evitando assim fraudes, fuga de investidores, etc. Hoje muitas empresas estão trabalhando de acordo com a lei Sarbanes-Oxley,a maioria delas estão situadas nos Estados Unidos. No Brasil algumas empresas no mercado de capitais aberto nos Estados Unidos como a Petrobrás, AmBev, Net entre outras já iniciaram o processo de adequação às novas regras estabelecidas pela lei.

PRINCIPAIS ASPECTOS

Esta lei é extensa e bem detalhada, mostrando que há diversas regras a serem seguidas. Quando uma fraude é descoberta seus presidentes e diretores alegam não ter conhecimento das mesmas. Esta visa que os responsáveis pela organização estejam conscientes de tudo o que acontece no controle interno, tendo como principais envolvidos: CFO, CIO, CEO, TI e as equipes operacionais.

Segue algumas regras a serem seguidas:

  •  A lei determina que haja um comitê de auditoria para fiscalizar as companhias abertas que estão submetidas às leis de segurança, protegendo deste modo os interesses dos investidores;
  •  O auditor independente não pode prestar serviço de consultoria à empresas em que está auditando;
  •  Proíbe direta e indiretamente, inclusive por intermédio de subsidiária, a oferta, manutenção, ampliação ou renovação de empréstimos entre a empresa e quaisquer conselheiros e diretores;
  •  Exige padrões de conduta e maiores responsabilidades de advogados. Qualquer irregularidade cometida pelos clientes o advogado deverá comunicar a mesma ao Comitê de Auditoria;
  •  Os executivos e diretores financeiros devem emitir relatórios trimestrais contendo a certificação de que eles executaram a avaliação da eficácia dos controles;
  •  Caso a empresa apresente erros nos demonstrativos contábeis e tenham que republicá-los gerando prejuízos para empresa, o Diretor Financeiro e o Presidente terão que devolver qualquer bônus e até mesmo participação nos lucros que tenham recebido.
  •  O presidente e os diretores financeiros da companhia devem divulgar um relatório sobre efetividade dos controles internos e a elaboração das demonstrações financeiras, justamente com os relatórios anuais;
  •  A pena para aqueles que omitirem ou apresentar informações falsas pode variar de 10 a 20 anos de prisão ou altas multas;
  •  Exige que os papéis e e-mails dos principais documentos relacionados à auditoria dos resultados sejam mantidos por cinco anos e determina 10 anos de prisão por destruir tais documentos;
  •  Determina a criação do comitê de auditoria composto por membros independentes que deverão supervisionar os processos de elaboração, divulgação e auditoria das demonstrações financeiras;
  •  Na criação do comitê de auditoria é exigido que pelo menos um dos membros seja um especialista financeiro;
  •  O controle interno é um dos itens exigidos com bastante rigor pela Lei. Esta determina que o diretor financeiro deve estabelecer e manter o controle interno da empresa;
  •  Obriga o rodízio periódico dos sócios da empresa de auditoria;
  •  Proíbe o auditor prestar serviços considerados fora do âmbito da prática do auditor como: serviços atuariais, funções de administração ou recursos humanos, serviços relativos aos registros contábeis ou demonstrações financeiras;
  •  Deverão adotar um código de ética para administradores financeiros seniores.

Vale salientar que não basta somente a implantação e o esforço por parte da TI : “A boa governança depende fundamentalmente da conscientização das pessoas sobre práticas corretas de se lidar com a informação.

 SEÇÕES 302 E 304

Grande parte da discussão em torno da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404.

  • A Seção 302

 Determina que Diretores Executivos e Diretores Financeiros devam declarar pessoalmente que são responsáveis pelos controles e procedimentos de divulgação. Cada arquivo trimestral deve conter a certificação de que eles executaram a avaliação do desenho e da eficácia desses controles.

  • A Seção 404

 Determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros Além disso, o auditor independente da companhia deve emitir um relatório distinto que ateste a asserção da administração, sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros.

 SEGURANÇA DA INFORMAÇÃO

É necessário que haja adequação ao conteúdo da Sarbanes-Oxley em toda a cadeia de comunicação da empresa, principalmente nos recursos concernentes a informações financeiras. Como exemplo os Sistemas de ERP, aplicativos contábeis, sistemas de CRM, banco de dados e armazenamento de informações precisam estar em sintonia com as regras adotadas na legislação, buscar integração entre sistemas. Políticas de Segurança da Informação adotadas devem estar em conformidade com a Lei.

 CONCLUSÃO

Panorama criado pela nova lei contra fraude corporativa norte americana e seus efeitos no mercado de capitais internacional pode ser visto como o de maior transparência e independência por parte das empresas de auditorias que prestam serviços para as companhias abertas e de maior fiscalização tanto por parte do governo quanto por parte das próprias companhias com relação a atos praticados por seus administradores. A Sabanes-Oxley Act é a reação às incertezas do mercado de capitais norte americano, e, certamente, sua aplicação refletirá no mercado de capitais global.

Referência Bibliográfica.

A lei Sarbanes-Oxley e seu impacto em TI. Disponível em: http://www.efagundes.com/artigos/Sox_e_o_impacto_em_TI.htm.

A Lei Sarbanes-Oxley: uma tentativa de recuperar a credibilidade do mercado de capitais norte-americano. Disponível em: http://www.congressousp.fipecafi.org/artigos12004/299.pdf.

Guia Sarbanes-Oxley. Disponível em: http://www.deloitte.com/dtt/cda/doc/content/guia_sarbanes_oxley%281%29.pdf.

O que é Lei Sarbanes-Oxley e quais os impactos na TI. Disponível em: http://imasters.uol.com.br/artigo/5096/direito/o_que_e_lei_sarbanes-oxley_e_quais_os_impactos_na_ti/.

Sarbanes-Oxley (SOX) e a TI. Disponível em: http://imasters.uol.com.br/artigo/5670/sarbanes-oxley_sox_e_a_ti.

2 thoughts on “SOX – LEI SARBANES-OXLEY

  • Claudiano,
    Excelente sua iniciativa em publicar este artigo de forma didática e esclarecedora.
    Apesar de estar de bom entendimento a parte “Segurança da Informação”, eu só discordo do verbo empregado (Adaptar) na frase: ” Políticas de Segurança da Informação adotadas devem ser adaptadas ao teor da Lei.”

    A PSI de uma empresa,apesar de ser um documento vivo,ela é magna.
    As leis devem ser cumpridas com os mecanismos existentes para tal.
    E os mecanismos empregados no mundo inteiro para a Adequação às Conformidades da SOX, são praticados pela interpretação e aplicação dos conteúdos dos documentos base,tais como, COBIT e ITIL só para exemplificar os mais importantes.
    Um grande abraço e continue publicando.
    Rapanelli

    Resposta

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.