iMasters
Primeiramente, gostaria de agradecer, de coração, aos inúmeros e-mails encaminhados diariamente, prometo responder a todos. Sem esquecer também de agradecer aos meus amigos revisores de plantão.
Hoje fugirei, um pouquinho, do foco em Gestão de Pessoas e abordarei um assunto que considero interessante sobre a Lei Sarbanes-Oxley e a TI.
Sobre a Lei
A Lei Sarbanes-Oxley, conhecida também como SOX, é uma lei americana promulgada em 30/06/2002 pelos Senadores Paul Sarbanes e Michael Oxley.
Nela estão envolvidas as empresas que possuem capitais abertos e ações na Bolsa de NY e Nasdaq, inclusive várias empresas brasileiras estão se adequando a esta Lei.
O motivo que a fez entrar em vigor foi justamente a onda de escândalos corporativos-financeiros envolvendo a Eron (do setor de energia), Worldcom (telecomunicações), entre outras empresas, que geraram prejuízos financeiros atingindo milhares de investidores.
O objetivo desta lei é justamente aperfeiçoar os controles financeiros das empresas e apresentar eficiência na governança corporativa, a fim de evitar que aconteçam outros escândalos e prejuízos conforme os casos supracitados.
A lei visa garantir a transparência na gestão financeira das organizações, credibilidade na contabilidade, auditoria e a segurança das informações para que sejam realmente confiáveis, evitando assim fraudes, fuga de investidores, etc. Esta lei pode ser deduzida como uma Lei de Responsabilidade Fiscal Sarbanes-Oxley.
A Organização
Com a implantação da lei, fica realmente constatado, ocorrem algumas alterações na governança corporativa. Atuar em governança corporativa diante da SOX é apresentar a transparência das áreas fiscais e de controladoria das organizações traçando um paralelo com as prestações de contas, tendo como principais envolvidos: CFO, CIO, CEO, TI e as equipes operacionais.
Muitas empresas já estão adequadas a este novo molde regido pela Lei Sarbanes-Oxley, principalmente nos EUA. Com a aplicação desta lei haverá a adequação dos controles internos da organização a SOX, portanto:
01. Será que os controles internos da empresa estão adequados?
02. A estrutura da governança corporativa (auditoria , código de ética,...) está alinhada aos novos parâmetros?
03. Há o conhecimento das atividades de controle?
Cada caso, é um caso.
A TI
Diante deste cenário, a ação da TI é de fundamental importância nesse processo. É a área responsável pelo controle, segurança da informação e sistemas. Portanto, deverá estar alinhada na adequação desta Lei para garantir às regras de transparência fiscal e financeira.
A seção 404 da Lei Sarbanes-Oxley aborda os impactos diante da área de tecnologia. Deixo aqui esta sugestão de leitura.
Porém para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:
01. DRI – plano de continuidade de negócios (PCN)
02. CobiT - governança em TI
03. ITIL - gestão de serviços de TI
04. CMM - gestão para o desenvolvimento de software
05. ISO 149977 (BS-7799) - gestão de segurança da informação/PSI
É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, ...), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).
Enfim, estabelecer um monitoramento contínuo e rápido alinhado às regras contidas na SOX.
Uma coisa é certa, desafios não vão faltar – desde, as alterações em processos até as informações (sistemas).
Vale salientar que não basta somente a implantação e o esforço por parte da TI : “A boa governança depende fundamentalmente da conscientização das pessoas sobre práticas corretas de se lidar com a informação.”
Questionar apenas não é o suficiente.
Abraços!
