Primeiramente, gostaria de agradecer, de coração, aos inúmeros e-mails encaminhados diariamente, prometo responder a todos. Sem esquecer também de agradecer aos meus amigos revisores de plantão.

Hoje fugirei, um pouquinho, do foco em Gestão de Pessoas e abordarei um assunto que considero interessante sobre a Lei Sarbanes-Oxley e a TI.

Sobre a Lei

A Lei Sarbanes-Oxley, conhecida também como SOX, é uma lei americana promulgada em 30/06/2002 pelos Senadores Paul Sarbanes e Michael Oxley.

Nela estão envolvidas as empresas que possuem capitais abertos e ações na Bolsa de NY e Nasdaq, inclusive várias empresas brasileiras estão se adequando a esta Lei.

O motivo que a fez entrar em vigor foi justamente a onda de escândalos corporativos-financeiros envolvendo a Eron (do setor de energia), Worldcom (telecomunicações), entre outras empresas, que geraram prejuízos financeiros atingindo milhares de investidores.

O objetivo desta lei é justamente aperfeiçoar os controles financeiros das empresas e apresentar eficiência na governança corporativa, a fim de evitar que aconteçam outros escândalos e prejuízos conforme os casos supracitados.

A lei visa garantir a transparência na gestão financeira das organizações, credibilidade na contabilidade, auditoria e a segurança das informações para que sejam realmente confiáveis, evitando assim fraudes, fuga de investidores, etc. Esta lei pode ser deduzida como uma Lei de Responsabilidade Fiscal Sarbanes-Oxley.

A Organização

Com a implantação da lei, fica realmente constatado, ocorrem algumas alterações na governança corporativa. Atuar em governança corporativa diante da SOX é apresentar a transparência das áreas fiscais e de controladoria das organizações traçando um paralelo com as prestações de contas, tendo como principais envolvidos: CFO, CIO, CEO, TI e as equipes operacionais.

Muitas empresas já estão adequadas a este novo molde regido pela Lei Sarbanes-Oxley, principalmente nos EUA. Com a aplicação desta lei haverá a adequação dos controles internos da organização a SOX, portanto:

01. Será que os controles internos da empresa estão adequados?

02. A estrutura da governança corporativa  (auditoria , código de ética,...) está alinhada aos novos parâmetros?

03. Há o conhecimento das atividades de controle?

Cada caso, é um caso.

A TI

Diante deste cenário, a ação da TI é de fundamental importância nesse processo. É a área responsável pelo controle, segurança da informação e sistemas. Portanto, deverá estar alinhada na adequação desta Lei para garantir às regras de transparência fiscal e financeira.
A seção 404 da Lei Sarbanes-Oxley aborda os impactos diante da área de tecnologia. Deixo aqui esta sugestão de leitura.

Porém para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:

01. DRI – plano de continuidade de negócios (PCN)

02. CobiT  - governança em TI

03. ITIL - gestão de serviços de TI

04. CMM - gestão para o desenvolvimento de software

05. ISO 149977 (BS-7799) - gestão de segurança da informação/PSI

É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, ...), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).

Enfim, estabelecer um monitoramento contínuo e rápido alinhado às regras contidas na SOX.
Uma coisa é certa, desafios não vão faltar – desde, as alterações em processos até as informações (sistemas).

Vale salientar que não basta somente a implantação e o esforço por parte da TI : “A boa governança depende fundamentalmente da conscientização das pessoas sobre práticas corretas de se lidar com a informação.”

Questionar apenas não é o suficiente.

Abraços!