GOVERNANA DE TI

6. GERENCIAMENTO DE RISCOS
Se h mais de uma maneira de se executar uma tarefa ou trabalho, e se uma dessas maneiras resultar em catstrofe ou em conseqncias indesejveis, certamente ser a maneira escolhida por algum para execut-la (Edward Murphy Jr.) Cada vez mais, as organizaes e seus negcios dependem de ativos intangveis, tais como informaes, conhecimentos, especialidades, reputao, confiana, patentes, etc. Esses ativos, em sua grande maioria, so suportados pela TI e devido a sua intangibilidade, so altamente vulnerveis. O combate a essa vulnerabilidade e a manuteno da TI operacional tem um custo que invisvel para a maior parte da organizao, que s se justifica em situaes onde existem ameaas de parada dos negcios, quando o tempo dessa parada reduzido ou quando o negcio se mantm operacional. Para se ter uma idia da importncia disso, o Banco Central, para controlar de forma mais eficaz as posies de fluxos financeiros dos bancos utiliza o SPB (Sistema de Pagamento Bancrio), que realiza as operaes de transferncias interbancrias de forma online, impedindo que instituies encerrem as suas atividades dirias em posies negativas. O tempo mximo permitido para recuperao, em caso de qualquer tipo de interrupo no processo, de 30 minutos. Aps esse perodo a operao extinta. Da a importncia de um Gerenciamento dos Riscos de TI para os negcios da organizao. Mas antes, importante definir o que so Riscos de TI e apresentar alguns detalhes sobre eles. Riscos de TI so aqueles riscos associados ao uso, propriedade, operao, envolvimento, influncia e adoo da TI dentro da organizao. Eles consistem em eventos relacionados a TI que potencialmente poderiam impactar os negcios. Isso inclui frequncia e amplitude incertas, e cria desafios para atingir objetivos estratgicos, tanto quanto incerteza na perseguio de oportunidades. Os Riscos de TI podem ser categorizados de trs formas diferentes: o Risco na Entrega de Servio de TI associado com o desempenho e a disponibilidade dos servios de TI e que podem trazer destruio ou reduo de valor para a organizao. Exemplos: interrupo de servios de TI, problemas de segurana; questes de conformidade; o Risco na Entrega de Soluo de TI (Projeto) associado a contribuio da TI com as novas ou melhoradas solues de negcio, normalmente na forma de projetos e programas. Exemplos: qualidade do projeto, relevncia do projeto, estouro de prazo do projeto; o Risco na Habilitao de Benefcios de TI (Valor) associado com oportunidades perdidas no uso da tecnologia para melhorar a eficcia ou eficincia dos processos de negcio, ou em usar a tecnologia como um habilitador para novas iniciativas de negcio. Exemplos: tecnologia como habilitadora para novas iniciativas de negcio, tecnologia como habilitadora para operaes eficientes.

Riscos de TI sempre existiro, mesmo sem serem detectados ou reconhecidos por uma organizao. importante observar que todas as categorias de riscos, tambm possuem um lado vantajoso para a organizao. Durante as decises relacionadas a riscos, importante levar em considerao essa dualidade risco/recompensa. O Gerenciamento de Riscos no contexto da Governana de TI visa: o Conscientizar a alta administrao da organizao sobre os riscos advindos da aplicao da TI nos negcios; o Compreender qual o apetite por riscos da organizao (o que determina como esses mesmos riscos sero tratados); o o o Quais requisitos de conformidade devem ser atendidos; Obter transparncia sobre os riscos significativos para a organizao; e Incorporar na organizao as responsabilidades sobre o gerenciamento desses riscos
1

Para auxiliar nesse processo o ISACA e o ITGI criaram um framework para gerenciamento de riscos de TI, chamado Risk IT que serve como complementao para o CobIT. Esse framework tem como alvo: o Executivos seniores e comits diretivos que necessitam direcionar e monitorar o risco em nvel organizacional; o Gerentes de TI e reas de negcio que necessitam definir processos de gerenciamento de riscos; o Profissionais de Gerenciamento de Riscos que necessitam especificar diretrizes especficas sobre os riscos de TI; e o Partes interessadas (stakeholders) externas.

Esse framework possui alguns princpios, que sero detalhados a seguir.

6.1.

PRINCPIOS DO FRAMEWORK RISK IT

a) Efetiva Governana dos Riscos de TI na organizao Algumas caractersticas importantes desse princpio: o Sempre ligados aos objetivos de negcio: Risco de TI tratado como um risco de negcio e a abordagem compreensvel e interfuncional; O foco no resultado dos negcios; Toda anlise de riscos de TI contm uma anlise de dependncia entre as funes de negcio e as camadas subjacentes da infraestrutura de TI; O gerenciamento de riscos de TI um habilitador de negcios, no um inibidor. Riscos de TI aos negcios devem ser vistos sobre os dois ngulos: proteo contra destruio de valor e habilitador de gerao de valor.
Information Systems Audit and Control Association (ISACA) e Information Technology Governance Institute (ITGI) associaes internacionais que se preocupam com a Governana de TI. Criaram e mantm o COBIT.
1

Alinha o gerenciamento dos riscos de negcio relacionados a TI com o gerenciamento geral de riscos organizacionais: Objetivos de negcio e a quantidade de risco para o qual a organizao est preparada so claramente definidos; Processos de tomada de deciso organizacionais consideram toda a gama de potenciais conseqncias e oportunidades advindas dos riscos de TI; O apetite da entidade pelos riscos reflete sua filosofia de gerenciamento de riscos e influencia a cultura e o estilo operacional; Questes sobre riscos esto integradas para cada organizao de negcio; Atestado/assinatura de ambiente de controle fornecida.

Equilibra os custos e benefcios de gerenciar riscos: Riscos so priorizados e tratados alinhados com o apetite e a tolerncia a riscos; Controles so implementados em bases razoveis (no so implementados simplesmente para ter controles implementados); Controles existentes so alavancados para tratar mltiplos riscos ou para tratar mais eficientemente os riscos.

b) Efetivo Gerenciamento de Riscos de TI Algumas caractersticas importantes desse princpio: o Promove uma comunicao fcil e aberta sobre os riscos de TI: o Informaes abertas, precisas, oportunas e transparentes sobre riscos de TI so trocadas e servem como base para todas as decises relacionadas a riscos; Questes relacionadas a riscos, princpios e mtodos de gerenciamento de riscos so integrados em toda a organizao; Descobertas tcnicas so traduzidas em termos de negcios relevantes e compreensveis

Estabelece o tom correto, a partir da alta cpula, enquanto define e refora contabilidade pessoal para operaes dentro de nveis de tolerncia aceitveis e bem definidos: Pessoas chave (formadores de opinio, proprietrios do negcio e comit de diretoria) esto engajadas no gerenciamento de riscos de TI; Existe uma clara designao e aceitao da propriedade do risco, incluindo assumir contabilidade, fazer medies de performance e integrar o gerenciamento de riscos no sistema de recompensas; Uma cultura consciente dos riscos ativamente promovida, comeando com o tom dado pelo topo. Isso ajuda a garantir que aqueles envolvidos com o gerenciamento do risco operacional estejam atuando com pressupostos consistentes sobre os risco; Decises sobre riscos so tomadas por pessoas autorizadas, com um foco no gerenciamento dos negcios, que tem um papel chave no gerenciamento de riscos de TI.

um processo contnuo e faz parte das atividades dirias: Devido a natureza dinmica dos riscos, gerenciar riscos de TI um processo iterativo, perptuo e contnuo. Cada mudana pode trazer riscos/oportunidades, e a organizao se prepara para isso, considerando de forma avanada as mudanas na prpria organizao (fuses e aquisies), na regulamentao, na TI, nos negcios, etc. dada ateno para mtodos consistentes de avaliao de riscos, papis e responsabilidades, ferramentas, tcnicas e critrios em toda organizao, especialmente: Identificao de processos chave e riscos associados (designao de prioridades, perfil de propriedade dos riscos); Compreenso do impacto no cumprimento de objetivos; Identificao de gatilhos que indicaro quando uma atualizao do framework ou componentes do framework requerida Prticas de gerenciamento de riscos so apropriadamente priorizadas e embutidas nos processos de tomada de deciso organizacional; Prticas de gerenciamento de riscos so diretas e fceis de usar, e contm prticas para detectar ameaas e riscos potenciais, tanto quanto como prevenir e mitig-los.

Baseado nesses princpios, os processos chave de um bom gerenciamento de riscos so definidos como os seguintes: o o o o o o Definir responsabilidade pelo gerenciamento de riscos; Definir objetivos e definir o apetite e a tolerncia por riscos; Identificar, analisar e descrever os riscos; Monitorar a exposio aos riscos; Tratar os riscos de TI; Conectar-se com as diretrizes existentes para gerenciar riscos.

6.2.

CONSCINCIA E COMUNICAO

Benefcios da conscincia e da comunicao so obtidos, principalmente porque a comunicao um processo chave no Gerenciamento de Riscos. Os benefcios da comunicao aberta incluem: o Executivos compreendem a real exposio aos riscos de TI, permitindo a definio de respostas aos riscos de forma apropriada e informada; o A conscincia, entre todas as partes interessadas, da importncia de integrar riscos e oportunidades em suas tarefas dirias; o A transparncia para partes interessadas externas dos nveis atuais de riscos e dos processos de Gerenciamento de Riscos em uso.

As conseqncias de uma comunicao fraca incluem: o Um falso senso de confiana, na alta cpula, do grau de exposio real relacionado TI, e a perda de um direcionamento bem compreendido para o Gerenciamento de Riscos, de cima para baixo; o Excesso de comunicao sobre riscos com o mundo externo, especialmente se o risco est num nvel elevado ou num nvel precariamente aceitvel. Isso pode deter clientes ou investidores potenciais, ou gerar discusses desnecessrias entre os regulamentadores; o A percepo de que a organizao est tentando esconder das partes interessadas os riscos conhecidos. 6.2.1. CONSCINCIA SOBRE OS RISCOS E CULTURA DE RISCOS

Conscincia sobre os riscos est relacionada a reconhecer que os riscos so uma parte integrante dos negcios.

6.2.2.

COMUNICAO DE RISCOS

A comunicao de riscos de TI cobre uma ampla gama de fluxos de informaes e o Risk IT distingue entre os seguintes fluxos de comunicao: o Polticas, procedimentos, treinamento de conscientizao, reforo contnuo dos

princpios, etc. Essa comunicao essencial para a estratgia geral da empresa em relao aos riscos de TI e orienta todos esforos subseqentes no Gerenciamento de Riscos; o Capacidade e desempenho do Gerenciamento de Riscos essa informao permite monitorar o estado da mquina de Gerenciamento de Riscos na organizao e um indicador chave de desempenho de bom Gerenciamento de Riscos. Tem valor preditivo em relao a quo bem a organizao est gerenciando os riscos e reduzindo a exposio; o Dados do Gerenciamento de Riscos Operacionais: Perfil de risco da organizao, isto , o portflio geral de riscos (identificados) para os quais a organizao est exposta; Causa raiz de eventos de perda; Limiar de riscos; Opes para mitigar (custo e benefcios) os riscos; Dados de eventos/perdas; Indicadores chave de riscos (Key Risk Indicators KRI) para dar suporte a relatrios gerenciais sobre os riscos. Para ser efetiva, a fluxo das informaes nos canais de comunicao deve sempre ser: o o o o o Claro; Conciso; til; Oportuno; e Direcionado audincia correta

6.2.3.

CENRIOS DE RISCOS

O primeiro passo que os riscos de TI devem ser identificados, compreendidos e avaliados. Devido a TI participar de praticamente tudo em uma organizao difcil identificar tudo o que poderia dar errado em relao a TI. Uma tcnica para fazer isso desenvolver Cenrios de Risco. Esses cenrios contm vrios componentes, tais como: o Tipos de Ameaas o o o o 6.2.4. Maliciosas; Acidentais; Falhas; e Naturais

Atores Internos (staff, contratantes); Externos (competidores, entrantes, parceiros de negcio, reguladores e mercado).

Aes Exposio; Interrupo; Modificao; Roubo; Destruio; Projeto no efetivo; Execuo no efetiva; Regulamentao; e Uso inapropriado.

Ativo / Recurso Pessoas e Organizao; Processos; Infraestrutura (instalaes, infraestrutura de TI); Componentes de Arquitetura Organizacional (informao, tecnologia, aplicaes).

Tempo Durao; Tempo da ocorrncia (crtico ou no crtico); e Tempo para deteco.

DESCRIO DO IMPACTO NOS NEGCIOS

Os riscos de TI devem ser descritos de forma clara, sem ambiguidade e em termos de negcio. Todas as partes interessadas devem ser capazes de compreender e expressar como eventos adversos podem impactar os objetivos de negcio. Isso significa que:

Pessoal de TI deve compreender como falhas ou eventos relacionados a TI podem impactar objetivos organizacionais e causar perdas diretas ou indiretas para a organizao;

Pessoal de negcios deve compreender como falhas ou eventos relacionados a TI podem afetar servios e processos chave.

6.2.5.

INDICADORES CHAVE DE RISCOS (KEY RISK INDICATORS KRI)

Os Indicadores Chave de Riscos (Key Risk Indicators KRI) podem ser definidos como parmetros que mostram que a organizao est sujeita, ou tem alta probabilidade de estar sujeita, a um risco que ultrapasse a tolerncia ao risco definida. Eles permitem aos administradores documentar e analisar tendncias e fornecer uma perspectiva para o futuro, sinalizando aes requeridas antes que o risco realmente se torne uma perda. Os indicadores podem ser determinados a partir de diferentes perspectivas (que podem ser usadas em conjunto), tais como: Perspectiva Indicadores Chave de Riscos Agilidade 4A" (Westerman/Hunter Preciso (Accuracy) Acesso Disponibilidade (Availability) Efetividade Eficincia Confiabilidade COBIT (Critrios da Informao) Integridade Sigilo Conformidade Disponibilidade Financeiros BSC (Objetivos de Negcio COBIT) Clientes Processos Internos Crescimento Valor compartilhado Market Share Receita / Lucro Custo do capital BSC Critrio Expandido de Impacto Satisfao do cliente Impacto regulatrio Recursos Vantagem competitiva Reputao

6.3.

MODELO DE PROCESSOS RISK IT (FRAMEWORK)

Os processos so divididos em trs domnios: o o o 6.3.1. Governana dos Riscos (Risk Governance RG); Avaliao de Riscos (Risk Evaluation RE); e Resposta aos Riscos (Risk Response RR). DOMNIO GOVERNANA DOS RISCOS (RISK GOVERNANCE RG)

Objetivo do domnio Garantir que as prticas do Gerenciamento de Riscos de TI estejam embutidas na organizao, permitindo a ela assegurar retorno timo do risco. Mtricas do Domnio (Exemplos) O grau no qual o uso estratgico da TI alavancando recursos da organizao reduz o risco organizacional global. Porcentagem do staff treinado em tcnicas de Gerenciamento de Riscos crticos (por exemplo, tcnicas padro de anlise de risco, gerenciamento de crises, gerenciamento de projetos, habilidades das pessoas em auditoria, para detectar quando alguma coisa relacionada a TI est errada. Processos do Domnio RG1 Estabelecer e manter uma Viso Comum dos Riscos Objetivo: Garantir que as atividades de Gerenciamento de Riscos estejam alinhadas com as capacidades dos objetivos organizacionais em tolerar perdas e a assuntos de lideranas relacionados a TI. Atividades Chave RG1.1 RG1.2 RG1.3 RG1.4 RG1.5 RG1.6 RG1.7 RG1.8 Desenvolver um framework de gerenciamento de riscos de TI especfico da organizao. Desenvolver mtodos de gerenciamento de riscos de TI. Realizar uma avaliao dos riscos de TI em toda organizao. Propor limites de tolerncia a riscos de TI. Aprovar a tolerncia aos riscos de TI. Alinhar declaraes de polticas e de padres com a tolerncia a riscos de TI. Promover uma cultura de conscientizao dos riscos de TI. Promover comunicao efetiva dos riscos de TI.

RG2 Integrar-se com o Gerenciamento de Riscos Organizacional (Enterprise Risk Management ERM) Objetivo: Integrar a estratgia e as operaes de riscos de TI com as decises estratgicas de risco organizacional que tem sido feitas em nvel organizacional. Atividades Chave RG2.1 RG2.2 RG2.3 RG2.4 RG2.5 Estabelecer contabilidade ao longo da organizao para gerenciamento dos riscos de TI. Estabelecer contabilidade para questes de riscos de TI. Coordenar a estratgia de riscos de TI e a estratgia de riscos de negcio. Adaptar as prticas de gerenciamento de riscos de TI s prticas de gerenciamento de riscos organizacionais. Fornecer recursos adequados para o gerenciamento de riscos de TI.

RG3 Tomar decises de negcio com conscincia dos riscos Objetivo: Garantir que as decises organizacionais considerem toda a gama de oportunidades e conseqncias, a partir da dependncia na TI para o sucesso da organizao. Atividades Chave RG3.1 RG3.2 RG3.3 RG3.4 RG3.5 RG3.6 6.3.2. Gerenciamento do ganho obtido com a abordagem da anlise de riscos de TI. Aprovar os resultados da anlise de riscos de TI. Embutir consideraes dos riscos de TI na tomada de decises estratgica de negcios. Aceitar os riscos de TI. Priorizar as atividades de resposta aos riscos de TI. Rastrear as decises chave sobre riscos de TI. DOMNIO AVALIAO DOS RISCOS (RISK EVALUATION RE)

Objetivo do domnio Garantir que os riscos e as oportunidades relacionados a TI estejam identificados, analisados e apresentados em termos de negcios. Mtricas do Domnio O impacto cumulativo nos negcios advindos de incidentes e eventos relacionados a TI, no identificados pelos processos de avaliao de riscos.

Processos do Domnio RE1 Coletar dados Objetivo: Identificar dados relevantes para habilitar as efetivas identificao, anlise e relatrio sobre riscos relativos a TI. Atividades Chave RE1.1 RE1.2 RE1.3 RE1.4 RE1.5 Estabelecer e manter um modelo para a coleta de dados. Coletar dados no ambiente externo. Coletar eventos, incidentes, problemas e perdas em dados apropriados. Identificar fatores de riscos. Organizar dados histricos sobre riscos de TI.

RE2 Analisar os riscos Objetivo: Desenvolver informaes teis para suportar decises arriscadas que levam em conta a relevncia para os negcios dos riscos de TI (por exemplo, ameaas, vulnerabilidades, valores, responsabilidade). Atividades Chave RE2.1 RE2.2 RE2.3 RE2.4 Definir o escopo das anlises de risco de TI. Estimar os riscos de TI para, e a partir de, servios, produtos, processos e recursos de TI crticos. Identificar opes de respostas aos riscos. Realizar uma reviso por pares dos resultados da anlise de riscos de TI.

RE3 Manter o Perfil de Riscos Objetivo: Manter um inventrio atualizado e completo dos riscos e atributos (por exemplo, frequncia esperada, impacto potencial, disposio), dos recursos de TI, das capacidades e dos controles, como compreendidos no contexto dos produtos, servios e processos de negcio. Atividades Chave RE3.1 RE3.2 RE3.3 RE3.4 RE3.5 RE3.6 6.3.3. Mapear os recursos de TI com os processos de negcio. Determinar a criticidade para os negcios dos recursos de TI. Compreender as capacidades da TI. Ligar os tipos de ameaas s categorias de impacto no negcio. Manter o registro de riscos de TI e o mapa de riscos de TI. Projetar e comunicar os indicadores de riscos de TI. DOMNIO RESPOSTA AOS RISCOS (RISK RESPONSE RR)

Objetivo do domnio Garantir que questes, oportunidades e eventos de risco relacionadas a TI sejam tratados de uma maneira efetiva em termos de custo e alinhados com prioridades dos negcios.

Mtricas do Domnio O impacto cumulativo nos negcios de incidentes e eventos relacionados a TI antecipados pelos processos de avaliao de risco, mas ainda no tratados pela mitigao ou planejamento de ao para eventos. Processos do Domnio RR1 Articular os riscos Objetivo: Garantir que as informaes do verdadeiro estado da exposio e das oportunidades relacionadas a TI estejam disponveis de uma maneira oportuna e para as pessoas certas para uma resposta apropriada. Atividades Chave RR1.1 RR1.2 RR1.3 RR1.4 Relatar os resultados das anlises de risco de TI. Relatar as atividades de gerenciamento de riscos de TI e a declarao de conformidade. Interpretar descobertas das avaliaes externas de TI. Identificar oportunidades relacionadas a TI.

RR2 Gerenciar os riscos Objetivo: Garantir que medies para capturar oportunidades estratgicas e reduzir riscos a um nvel aceitvel sejam gerenciadas como um portflio. Atividades Chave RR2.1 RR2.2 RR2.3 RR2.4 RR2.5 Inventariar controles, capacidades e recursos. Monitorar o alinhamento operacional com os limites de tolerncia a riscos. Responder exposio a riscos e s oportunidades descobertas. Implementar controles. Relatar os progressos no plano de ao de riscos de TI.

RR3 Reagir a eventos Objetivo: Garantir que medies para capturar oportunidades imediatas ou para limitar a amplitude da perda em virtude de eventos relacionados a TI sejam ativadas de uma maneira oportuna e que sejam efetivas. Atividades Chave RR3.1 RR3.2 RR3.3 RR3.4 Manter planos de resposta a incidentes. Monitorar os riscos de TI. Iniciar planos de resposta a incidentes. Conduzir revises post mortem de incidentes relacionados a TI.

6.3.4.

RESPOSTAS AOS RISCOS

As respostas aos riscos podem ser classificadas nas seguintes categorias: o Anulao dos riscos anulao significa que existem atividades que originam riscos e estas devem ser anuladas. A anulao do risco aplicada quando nenhuma outra resposta aos riscos adequada. Exemplo: mudana de local de data centers para longe de regies com perigos naturais significativos. o Reduo/Mitigao dos riscos reduo significa que uma ao tomada para reduzir a frequncia ou impacto de um risco (ou ambos). O modo mais comum de responder aos riscos introduzir uma certa quantidade de medies de controle com intuito de reduzir tanto a frequncia de ocorrncia de um evento adverso quanto o impacto nos negcios de um evento, caso ele ocorra; o Transferencia/Compartilhamento dos riscos compartilhar significa reduzir a frequncia dos riscos ou o seu impacto transferindo ou de alguma forma compartilhando uma parte do risco. Tcnicas comuns so as aplices de seguro e a terceirizao. Exemplos: adquirir uma aplice de seguro com cobertura para incidentes relacionados a TI, terceirizar parte das atividades de TI ou compartilhar o risco do projeto com um fornecedor por meio de acordos de preo fixo ou investimentos compartilhados; o Aceitao dos riscos aceitao significa que nenhuma ao tomada em relao a um risco em particular e a perda aceita quando, e se, ocorrer. diferente de ignorar o risco. Aceitar assume que o risco conhecido. Exemplo: pode existir um risco de que o projeto no entregue os requisitos de negcios na data planejada, mas o gerente pode decidir aceitar o risco e prosseguir com o projeto.

6.4.

LEI SARBANES-OXLEY (SOX)

Durante o processo de Gerenciamento de Riscos tambm devem ser tratados os requisitos de conformidade com os principais marcos de regulamentao externos que influenciam os negcios da empresa (por exemplo, SOX Sarbanes-Oxley, Basilia II, etc.). O SOX Sarbanes-Oxley, por exemplo, exige que as organizaes: o o o o o o o Possuam uma Poltica de Segurana abrangente; Definam sua classificao de segurana de dados; Identifiquem seus riscos e respectivos impactos nos negcios; Possuam procedimentos e padres formais de segurana; Possuam documentos atualizados que formalizem suas bases de segurana, auditoria e testes; Possuam uma definio clara de responsabilidades; Possuam polticas e procedimentos definidos para o Gerenciamento de Mudanas, Suporte, Requisitos de Servios, bem como para mudanas em Procedimentos. Aplicativos, Polticas e

A Lei Sarbanes-Oxley (SOX) uma lei promulgada nos EUA em 30/06/2002 pelo senador Paul Sarbanes e pelo deputado Michael Oxley, que atinge empresas que possuem capital aberto e aes na Bolsa de Valores de Nova York e na Nasdaq. Vrias empresas brasileiras se enquadram nessa lei. Ela surgiu devido onda de escndalos corporativos-financeiros (Enron, WorldCom, etc.) que geraram prejuzos financeiros e atingiram milhares de investidores. O objetivo da lei aperfeioar os controles financeiros das empresas e apresentar eficincia na Governana Corporativa, para evitar que outros escndalos e prejuzos aconteam. Ela visa garantir a transparncia na gesto financeira das organizaes, credibilidade na contabilidade, auditoria e segurana das informaes, para que os dados sejam confiveis, assim evitando fraudes, fugas de investidores, etc. Tudo isso para tentar recuperar a credibilidade do mercado de capitais dos EUA. Os principais tpicos da lei so: o o o o o Promoo da boa Governana Corporativa e das boas prticas de negcio; Aumento da independncia dos auditores externos; Obrigao de existir um Comit de Auditoria Independente; Definio do papel de crtica ao controle interno por meio de certificaes e declaraes; e Transparncia nos relatrios e nas informaes aos acionistas e a restrio de trabalho, no relativos auditoria, dos auditores externos. Em relao organizao, a lei causa algumas alteraes na Governana Corporativa, pois ela gera um conjunto de novas responsabilidades e sanes aos administradores para impedir as prticas lesivas que expem as sociedades annimas a nveis de risco elevados. A Governana Corporativa focada na SOX deve apresentar transparncia nas reas fiscal e de controladoria. Os principais envolvidos so: CFO, CIO, CEO, TI e as equipes operacionais. Lei Sarbanes-Oxley Seo 302 Corporate Responsability for Financial Reports (tambm conhecida como Certificaes) Estabelece que o presidente e o diretor financeiro devem assumir pessoalmente a responsabilidade pela autenticidade das demonstraes financeiras. Alm disso, eles devem ser responsveis pelo estabelecimento e manuteno do controle interno da organizao. O presidente e o diretor financeiro devem emitir certificaes trimestrais atestando: o Que realmente so responsveis pelo estabelecimento e pela manuteno dos controles internos; o Que projetaram esses controles (ou supervisionaram o projeto) para assegurar que as informaes materiais cheguem ao conhecimento de todos; o Que avaliaram a eficcia desses controles a cada trimestre e apresentaram em relatrio as concluses sobre a eficcia dos controles internos;

Que divulgaram tanto para o Comit de Auditoria, quanto para os auditores independentes, todas as deficincias relevantes identificadas no controle, e ainda qualquer fraude envolvendo funcionrios da administrao ou qualquer outro que atua significativamente nos controles internos da empresa; e

Que revelaram nos documentos destinados SEC (Securities and Exchange Comission rgo semelhante CVM brasileira) todas as alteraes realizadas no controle interno para suprir as deficincias identificadas.

Outro efeito dessa lei a adequao dos controles internos a ela, portanto cabe questionar: o o Ser que os controle internos da organizao so adequados? A estrutura de Governana Corporativa (auditoria, cdigo de tica, etc.) est alinhada aos novos parmetros? o H o conhecimento das atividades de controle?

Nesse cenrio a TI fundamental para o processo de adequao lei, pois ela a rea responsvel pelo controle e segurana da informao e dos sistemas. Lei Sarbanes-Oxley Seo 404 Management Assesment of Internal Controls (tambm conhecida como Divulgao, aborda aspectos relacionados TI) Exige que o presidente e o diretor financeiro da organizao divulguem um relatrio sobre a efetividade dos controles internos e da elaborao das demonstraes financeiras, juntamente com os relatrios anuais. Este relatrio dever confirmar a responsabilidade dos executivos pelo estabelecimento e manuteno de controles e procedimentos internos para a emisso de relatrios financeiros e avaliar a eficcia dos controles estabelecidos. Determina ainda que o auditor externo da organizao deve emitir um relatrio individual confirmando a avaliao da administrao sobre a eficcia dos controles e procedimentos internos para a emisso de relatrios financeiros. Alguns frameworks podem ser utilizados para auxiliar no processo de conformidade, tais como COBIT, Risk IT, ITIL, CMMI, ISO 17799/27001. Alm disso, necessrio: o Analisar, modificar, implantar e assegurar uma cultura de controles internos para assegurar a confiabilidade das informaes (se necessrio, redesenhar processos de controle); o Realizar diagnsticos de conformidade, pelo estabelecimento de um monitoramento contnuo e rpido alinhado s regras da SOX; o o o Eliminar processos redundantes; Gerar a confiabilidade de sistemas e aplicaes; Manter a segurana das informaes disponveis (acessos, permisses, compartilhamentos, etc.); e o Garantir a veracidade dos dados de sada (com prazos mais curtos para a emisso de diversos relatrios importante uma base de dados nica).

O caminho para a TI auxiliar na obteno dessa conformidade SOX, tanto quanto o seu valor para o negcio da organizao, pode ser observado na Figura 3, abaixo.
6. Construir a sustentabilidade Considerar controles automatizados para melhorar sua confiabilidade e para reduzir o esforo de teste Racionalizar para eliminar controles redundantes e duplicados

4. Avaliar o projeto dos controles e a eficcia da operao Determinar se todos os controles chave so documentados Testar os controles para confirmar sua eficcia operacional

Valor para o negcio

1. Planejar e Criar Escopo dos Controles de TI Revisar toda a documentao de projeto e identificar controles de aplicao Identificar aplicaes dentro do escopo Identificar infraestrutura e bancos de dados dentro do escopo

2. Avaliar o risco da TI Avaliar a probabilidade e o impacto caso os sistemas causem erros ou fraudes nas declaraes financeiras

5. Priorizar e resolver deficincias Avaliar deficincias por meio da avaliao de seu impacto e da probabilidade de causar erros ou fraudes nas declaraes financeiras Considerar onde os controles de compensao existem e se so confiveis

3. Documentar os controles Documentar controles de aplicao (controles automatizados ou configurados e controles hbridos) Documentar controles gerais de TI (acessos, desenvolvimento e mudanas em programas e operaes de computao

Conformidade com SOX

Figura 3 Conformidade SOX x Valor para o Negcio LEI SARBANES-OXLEY X LEGISLAO BRASILEIRA Alguns aspectos da Lei Sarbanes-Oxley tem aspectos correspondentes na legislao brasileira. A tabela abaixo apresenta alguns desses aspectos. Tabela 3 Sarbanes-Oxley x Legislao brasileira Lei Sarbanes- Oxley O auditor independente no pode prestar servio de consultoria empresa na qual ele est realizando a auditoria (Seo 101) Probe direta ou indiretamente, inclusive por intermdio de subsidirias, a oferta, manuteno, ampliao ou renovao de emprstimos entre a organizao e quaisquer conselheiros ou diretores (Seo 402) Exige padres de conduta e maior responsabilidade dos advogados. Qualquer irregularidade legal cometida pelos clientes dever ser comunicada pelo advogado ao Comit de Auditoria (Seo 307) Legislao Brasileira As empresas de auditoria no podem prestar servios de consultoria ou outros servios que possam caracterizar a perda de sua objetividade e independncia (CVM 308/99)

No existe a proibio de emprstimos

No existe obrigatoriedade deste relato

Os diretores executivos e os diretores financeiros devem emitir relatrios trimestrais contendo a certificao de que eles executaram a avaliao da eficcia dos controles (Seo 302)

Trimestralmente, em conjunto com as demonstraes financeiras, a organizao deve divulgar relatrio preparado pela administrao com a discusso e anlise dos fatores que influenciaram fortemente o resultado, indicando os principais fatores de risco (internos e externos) a que a organizao est sujeita.

Caso a organizao apresente erros nos demonstrativos contbeis e tenham que republiclos, gerando prejuzo para a organizao, o diretor financeiro e o presidente tero que devolver qualquer bnus e at mesmo participaes nos lucros que eles tenham recebido (Seo 304) O presidente e os diretores financeiros da organizao devem divulgar um relatrio sobre a efetividade dos controles internos e sobre a elaborao das demonstraes financeiras, juntamente com os relatrios anuais (Seo 404) A pena para os presidentes e diretores financeiros que omitirem informaes ou apresentarem informaes falsas pode variar de 10 a 20 anos de priso e altas multas, Exige que papis e e-mails dos principais documentos relacionados auditoria dos resultados sejam mantidos por 5 anos e determina a pena de 10 anos por destruir tais documentos (Seo 802) Determinar a criao do Comit de Auditoria, composto por membros independentes que devero supervisionar os processos de elaborao, divulgao e auditoria das demonstraes financeiras (Seo 301) Na composio do Comit de Auditoria exigido que pelo menos um dos membros seja um especialista financeiro (Seo 407) O controle interno um dos itens exigidos com bastante rigor por essa lei. Ela determina que o presidente e o diretor financeiro devem estabelecer e manter o controle interna da empresa (Seo 302) Obriga o rodzio peridico dos scios da empresa de auditoria (Seo 203) Probe o auditor de prestar servios considerados fora do mbito de sua prtica, como: servios atuariais, funes de administrao ou recursos humanos, servios relativos a registros contbeis ou demonstraes financeiras (Seo 201) Dever adotar um cdigo de tica para administradores financeiros seniores (Seo 406)

No existe obrigatoriedade desta ao

No existe obrigatoriedade desta ao

Os administradores respondem civilmente pelos prejuzos que causarem organizao quando ultrapassarem os atos regulares de gesto ou quando procederem, dentro de suas atribuies e poderes, com culpa e dolo. O auditor, para fins de fiscalizao do exerccio profissional, deve conservar em boa guarda toda a correspondncia, relatrios, pareceres e demais documentos relacionados com a auditoria pelo prazo de 5 anos, a contar da data de emisso do parecer (NBC P1 resoluo 821/97) No obrigatrio a criao do Comit de Auditoria, a SEC permitiu que as empresas brasileiras pudessem substitu-lo pelo Conselho Fiscal ou Conselho de Administrao O Conselho de Administrao deve ter pelo menos dois membros com experincia em finanas (Cartilha de Governana Corporativa CVM) O sistema contbil e de controles internos de responsabilidade da administrao da entidade, porm, o auditor deve efetuar sugestes objetivas para o seu aprimoramento, decorrentes de constataes feitas no decorrer do seu trabalho (NBC T11 resoluo 820/97) As empresas devem fazer um rodzio das empresas de auditoria a cada 5 anos.

No existe obrigatoriedade deste fato.

No existe obrigatoriedade deste fato