Governança de TI: Lei Sarbanes-Oxley e a TI

Olá caros leitores!

Por sugestão dos nossos leitores, vamos falar um pouco sobre esta lei que afeta diretamente a área de TI.

A lei Sarbanes-Oxley foi criada nos EUA em 30 de Julho de 2002 pelos senadores Sarbanes e Oxley, sendo a lei batizada com a junção de seus nomes. O gatilho para a criação desta lei foram os escândalos financeiros ocorridos nos EUA. Algumas empresas, sendo o caso mais famoso da Enron, uma das líderes mundiais em distribuição de energia e comunicações da época e de faturamento de cerca de 100 bilhões de dólares no ano 2000, fraudou diversos demonstrativos fiscais e contábeis com auxílio de empresas e bancos, omitindo do seu balanço anual dívidas de cerca de 25 bilhões de dólares. Esta omissão fez com que investidores comprassem ações de uma empresa aparentemente rentável e sadia, sendo que a mesma estava á beira da falência, onde muitos perderam investimentos de uma vida (Nos EUA muitas pessoas investem em ações assim como no Brasil colocamos dinheiro na poupança). Para fazer com que a credibilidade nas aplicações na bolsa fossem melhoradas, a SOX surgiu.

Antes da SOX, somente as empresas eram punidas devido fraudes financeiras. Portanto, se o executivo cometia alguma fraude, passava ileso, sendo a empresa responsabilizada. A SOX responsabiliza civil e criminalmente os executivos do negócio em caso de fraudes, mesmo que eles não tenham participação direta. A idéia da SOX é que as empresas demonstrem eficiência na Governança Corporativa. A SOX define uma série de controles que são necessários para garantir a segurança, veracidade, integridade entre outros aspectos da informação.

A SOX afeta empresas que tem suas ações negociadas na Bolsa de Nova York. Algumas empresas brasileiras que tem as ações na bolsa de NY são: Petrobrás, GOL, TAM entre outras.

E como esta lei afeta a TI?

Esta lei afeta diretamente a TI pelo fato de todas as informações financeiras serem guardadas em sistemas de informação. A SOX exige entre outras coisas que:

• Estabelece regras de elaboração e publicações de resultados financeiros. Portanto os sistemas de informação precisam estar adequados para isso.

• O CEO e CFO precisam atestar e assinar que os relatórios financeiros estão corretos. Imaginem a pressão deles por controles adequados dos sistemas por parte da TI. Eles são responsabilizados em casos de erros, fraudes e etc.

• O conteúdo da informação precisa ser correto.

• A informação precisa estar disponível no momento correto (questões de disponibilidade).

• Acessível somente por pessoas autorizadas (segurança).

• Informação precisa estar atualizada.

• Os sistemas internos precisam ter controles relativos às informações, novas funcionalidades e permitir o rastreio (logs) no caso de erros em relatórios, alterações indevidas.

• Novos processos de TI precisam ser implementados para mitigar os riscos.

• Indicadores de desempenho precisarão ser criados.

• Entre outros aspectos.

No pouco que listamos acima, podemos notar que processos maduros de desenvolvimento de software, gestão de serviços de TI, segurança da informação serão de fundamental importância para que a SOX seja cumprida. O COBIT, framework de governança de TI, será utilizado para “governar” e controlar todos estes processos, dando a visão gerencial á respeito da TI para os executivos, e fazer com que a TI esteja alinhada com o negócio de forma a cumprir a lei.

Espero ter esclarecido vossas dúvidas sobre esta lei. E você? Tem alguma experiência com SOX? Conhece outras maneiras que a SOX afeta a TI? Compartilhe sua experiência conosco.

Um grande abraço!