Governança de TI: Lei Sarbanes-Oxley (SOX) e a TI

A lei Sarbanes-Oxley foi criada nos EUA em 30 de Julho de 2002 pelos senadores Sarbanes e Oxley, sendo a lei batizada com a junção de seus nomes. O gatilho para a criação desta lei foram os escândalos financeiros ocorridos nos EUA. Algumas empresas, sendo o caso mais famoso da Enron, uma das líderes mundiais em distribuição de energia e comunicações da época e de faturamento de cerca de 100 bilhões de dólares no ano 2000, fraudou diversos demonstrativos fiscais e contábeis com auxílio de empresas e bancos, omitindo do seu balanço anual dívidas de cerca de 25 bilhões de dólares. Esta omissão fez com que investidores comprassem ações de uma empresa aparentemente rentável e sadia, sendo que a mesma estava á beira da falência, onde muitos perderam investimentos de uma vida (nos EUA muitas pessoas investem em ações assim como no Brasil colocamos dinheiro na poupança). Para fazer com que a credibilidade nas aplicações na bolsa fossem melhoradas, surgiu a SOX.

Antes da SOX, somente as empresas eram punidas devido a fraudes financeiras. Portanto, se o executivo cometia alguma fraude o mesmo passava ileso, sendo a empresa responsabilizada. A SOX responsabiliza civil e criminalmente os executivos do negócio em caso de fraudes, mesmo que eles não tenham participação direta. A idéia da SOX é que as empresas demonstrem eficiência na Governança Corporativa. A SOX define uma série de controles que são necessários para garantir a segurança, veracidade, integridade entre outros aspectos da informação.

A SOX afeta empresas que tem suas ações negociadas na Bolsa de Nova York. Algumas empresas brasileiras que tem as ações na bolsa de NY são: Petrobrás, GOL, TAM entre outras.

E como esta lei afeta a TI?

Esta lei afeta diretamente a TI pelo fato de todas as informações financeiras serem guardadas em sistemas de informação. A SOX estabelece, entre outras coisas, que:

• Regras de elaboração e publicações de resultados financeiros. Portanto os sistemas de informação precisam estar adequados para isso.
• O CEO e CFO precisam atestar e assinar que os relatórios financeiros estão corretos. Imaginem a pressão deles por controles adequados dos sistemas por parte da TI. Eles são responsabilizados em casos de erros, fraudes e etc.
• O conteúdo da informação precisa ser correto.
• A informação precisa estar disponível no momento correto (questões de disponibilidade).
• Acessível somente por pessoas autorizadas (segurança).
• Informação precisa estar atualizada.
• Os sistemas internos precisam ter controles relativos às informações, novas funcionalidades e permitir o rastreio (logs) no caso de erros em relatórios, alterações indevidas.
• Novos processos de TI precisam ser implementados para mitigar os riscos.
• Indicadores de desempenho precisarão ser criados.
• Entre outros aspectos.

No pouco que listamos acima, podemos notar que processos maduros de desenvolvimento de software, gestão de serviços de TI e segurança da informação são de fundamental importância para que a SOX seja cumprida. O COBIT, framework de governança de TI, será utilizado para “governar” e controlar todos estes processos, dando a visão gerencial a respeito da TI para os executivos, e fazer com que a TI estejaalinhada com o negócio de forma a cumprir a lei.

Espero ter esclarecido as dúvidas sobre esta lei. E você, tem/teve alguma experiência com SOX? Conhece outras maneiras que a SOX afeta a TI? Compartilhe sua experiência conosco.

Um grande abraço!

Fonte: Blog Governança de TI