Governana Corporativa e Regulamentaes de Compliance 29
principal responsvel por fnanas do emitente, ou pessoas que desempe-
nham funes similares, efetivados pelo comit de diretores do emitente, pela gerncia ou outras pessoas, para prover garantia razovel relacionada confabilidade de emisso de relatrios fnanceiros e preparao de relatrios de resultados fnanceiros para propsitos externos, de acordo com princpios de contabilidade geralmente aceitos GAAP. Inclui poltica e procedimentos para: (1) Manter registros que, em razovel detalhe, com exatido e de forma correta, refitam as transaes e disposies dos ativos do emitente. (2) Prover garantia de que as transaes sejam registradas quando neces- srio para permitir a preparao de declaraes de resultados fnanceiros de acordo com princpios contbeis geralmente aceitos, e que as receitas e despesas do emitente sejam feitas somente de acordo com autorizaes da gerncia e diretores do emitente. (3) Prover garantia relacionada preveno ou deteco, no momento preciso, de aquisies no autorizadas, uso ou disposio dos ativos do emitente que possam ter um efeito material nas declaraes dos resultados fnanceiros. O nome dessa lei federal americana, patrocinada pelos congressistas norte- -americanos Sarbanes e Oxley e publicada em agosto de 2002 para regular as responsabilidades e prticas de auditoria em empresas abertas, : Public Accounting Reform and Investor Protection Act. A Stock Exchange Comission SEC (que vem a ser a equivalente nossa Comisso de Valores Mobilirios CVM), autoridade que regula o mercado de capitais norte-americano, tem a responsabilidade por estabelecer as regras para implantar o Sarbanes-Oxley Act. Tais regras incluem guias para a elabo- rao de relatrios fnanceiros pelos CEO (Chief Executive Ofcer geralmen- te o presidente da empresa) e o CFO (Chief Financial Ofcer responsvel mximo pelas fnanas de uma empresa). Para defnir regras para os auditores independentes a respeito da lei, foi criada no contexto da SEC o Public Company Accounting Oversight Board, que uma organizao no governamental dedicada a criar normas a partir da lei. 30 Implantando a Governana de TI 3 edio O SOX (Sarbanes-Oxley Act) composto pelos seguintes ttulos: Ttulo I : Public Company Accounting Oversight Board. Trata do PCAOB, que uma organizao no-governamental que deve registrar as auditorias e estabelecer os padres de auditoria rela- tivos aos controles financeiros das empresas abertas. Ttulo II: Auditor Independence. Estabelece que os auditores sejam independentes e que haja rotatividade entre empresas de auditoria. Ttulo III: Corporate Responsibility. Atribui as responsabilidades cor- porativas, em termos da formao de um comit de auditoria, da sua composio e dos requisitos sobre o envio de relatrios SEC e outros tipos de conduta requeridos dos CEOs, CFOs e demais dire- tores. Ttulo IV: Enhanced Financial Disclosures. Estabelece novas regras para a elaborao e publicao de resultados fnanceiros, assim como requer que a administrao mantenha um sistema de controle inter- no adequado. Ttulo V: Analyst Conficts of Interest. Estabelece regras para que no haja confitos de interesse na atuao de analistas de corretoras de valores ou de administrao de fundos. Ttulo VI: Comission Resources and Authority. Estabelece regras para autorizao de fundos para a SEC, assim como a autoridade da SEC para suspender, temporariamente ou no, empresas e profssionais de auditoria. Ttulo VII: Studies and Reports. Aqui o SOX autoriza a SEC a efetuar estudos e relatrios relativos consolidao de frmas de auditoria, agncias de rating de risco, violaes profssionais no mbito do mercado de capitais, anlises dos resultados das aes da SEC e estu- dos de bancos de investimentos. Ttulo VIII: Corporate and Criminal Fraud Accountability. Estabelece regras especfcas e penalidades para a destruio de registros corpora- tivos, assim como para alterao de dados e falsifcaes. Ttulo IX: White-Collar Crime Penalty Enhancements. Contm pena- lidades para crimes do colarinho branco. Ttulo X: Corporate Tax Returns. Estabelece que o CEO deve, obriga- toriamente, assinar o imposto de renda da pessoa jurdica. Governana Corporativa e Regulamentaes de Compliance 31 Ttulo XI: Corporate Fraud Accountability. Defne a responsabilidade corporativa pela comunicao de informaes fnanceiras de resulta- dos fraudulentos. 2.2.2 REQUISITOS DO SOX QUE AFETAM TI Para a TI, as Sees 302 e 404 do SOX so de especial importncia. A Seo 302 especifca que: O CEO e o CFO devem revisar os relatrios fnanceiros. Com base no conhecimento do CEO e do CFO, os relatrios no contm nenhuma declarao falsa de um fato material ou omisso, para fazer a declarao de resultados. Com base no conhecimento do CEO e do CFO, outras informaes fnanceiras includas representam corretamente, em todos os aspectos materiais, a condio fnanceira, resultados de operaes e fuxos de caixa nos perodos representados pelos relatrios. O CEO e o CFO so responsveis por manter e estabelecer controles e procedimentos sobre a emisso de relatrios fnanceiros e controles internos sobre tais relatrios. Os sistemas de controle interno sobre a emisso de relatrios fnan- ceiros devem ser projetados sob a superviso do CEO e do CFO, incluindo as subsidirias. Os sistemas de controle internos sobre relatrios fnanceiros tambm devem ser projetados sob a superviso do CEO e do CFO. Deve ser avaliada a efetividade do sistema de controle sobre a emisso de relatrios fnanceiros. Devem ser comunicadas mudanas nos controles internos sobre rela- trios fnanceiros, considerando o ltimo ano fscal. Devem ser comunicadas as defcincias dos sistemas de controle in- terno que possam afetar a habilidade da empresa em registrar, proces- sar, sumarizar e comunicar informaes fnanceiras. Deve ser comunicada qualquer fraude que envolva a gerncia ou ou- tros empregados que tenham um papel signifcante nos registros do controle interno sobre relatrios fnanceiros. 32 Implantando a Governana de TI 3 edio A Seo 404, por sua vez, especifca que: A administrao tem a responsabilidade de estabelecer e manter uma estrutura adequada de controle interno e procedimentos para relat- rios fnanceiros. A administrao deve avaliar a efetividade do sistema de controle in- terno sobre relatrios fnanceiros. Deve ser realizada uma auditoria externa especfca sobre a avalia- o interna da efetividade do sistema de controle interno feita pela administrao. Para atender aos requisitos do SOX, as informaes fnanceiras sobre os resultados devem atender aos seguintes princpios: O contedo da informao deve ser apropriado. A informao deve estar disponvel no momento em que for necessria. A informao atual ou pelo menos a ltima disponvel. Os dados e as informaes esto corretas. A informao acessvel aos usurios interessados. H um sistema de controle interno sobre relatrios fnanceiros que garante todos os demais itens anteriores. Esses requisitos afetam a TI de forma bastante signifcativa. Lembramos que as informaes fnanceiras e de resultados so oriundas de todos os pro- cessos de negcio que geram fatos contbeis e fnanceiros para a empresa e que podem estar automatizados ou no. Portanto, praticamente todos os sistemas transacionais de uma empresa, relativos a pagamento de pessoal, pagamento de benefcios a pessoal, transa- es com fornecedores (compras, aplicao de recursos fnanceiros) e clientes (vendas, captao de recursos fnanceiros), com acionistas, com o governo, gesto de recursos fnanceiros, etc., devem ser considerados quando pensamos no SOX. Governana Corporativa e Regulamentaes de Compliance 33 No contexto de um sistema de controle interno, os riscos so identifcados e mitigados, os controles so estabelecidos e executados, os registros e sistemas de controle so desenvolvidos e mantidos e toda a sistemtica monitorada. A TI, como sabemos, um elemento crtico como fonte de risco para a continuidade do negcio e para o atendimento ao SOX. A Tabela 2.1 mostra as principais implicaes operacionais do SOX para a TI, considerando os processos de TI (vide em captulos posteriores as consi- deraes dos modelos de melhores prticas de TI): Requisitos de qualidade da informao Implicaes do SOX O contedo da informao deve ser apropriado. Processo de desenvolvimento de requisitos de software. Processo de gerenciamento de requisitos de software. Mtodos de engenharia de software. Processos de ver|lcaao (lesle). Processos de validao (aceitao pelos usurios). Processos de segurana da informao empregados nos aplicativos. Processos de aceitao de produtos de terceiros. Processo de geslao da rudara e da corlguraao. A informao deve estar disponvel no momento em que for necessria. Disponibilidade de aplicativos. Disponibilidade da infraestrutura. Gerenciamento de incidentes e problemas no ambiente de produo. Suporte aos usurios. Gesto de aplicativos e de ativos de TI. Processos de gerenciamento da infraestrutura. Segurana da infraestrutura. Gerenciamento da contingncia. Gerenciamento de disponibilidade e desempenho. A informao atual ou pelo menos a ltima disponvel. Processos de gerenciamento de dados. Planejamento e gerenciamento da contingncia e de desastres. Segurana da informao na infraestrutura. Os dados e as informaes esto corretos. Segurana da informao em aplicativos. Segurana da infraestrutura de TI. Teste de software. Corlro|e da rudara e da corlguraao. Gerenciamento de dados. Gerenciamento de requisitos. 34 Implantando a Governana de TI 3 edio Requisitos de qualidade da informao Implicaes do SOX A informao acessvel aos usurios interessados. Segurana da informao referente a controle de acessos e privilgios. Controle de autorizaes. H um sistema de controle interno sobre re|alor|os lrarce|ros. Avaliao de riscos de TI. Gesto da qualidade. Planos de desastres e recuperao. Tabela 2.1 Implicaes do SOX para TI 2.2.3 IMPACTO DO SOX NA GOVERNANA DE TI O SOX impacta a Governana de TI no que diz respeito aos seguintes aspectos: As questes relativas ao SOX devem ser tratadas no Plano de Tecno- logia da Informao. Novos controles (funcionalidades) em aplicaes do legado devem ser implantados. Novas aplicaes devem ser implantadas. Processos de TI existentes devem ser ajustados e melhorados para mi- tigar riscos. Novos processos de TI devem ser projetados e implantados. Ocorrncia de provveis mudanas na estrutura organizacional de TI em funo dos processos ajustados e tambm dos novos. Novos indicadores de desempenho devero ser defnidos e im- plantados. Os riscos de TI devem ser monitorados constantemente. Finalizando este tema, o CIO deve ser pea fundamental no esforo da empresa para se ajustar ao SOX, devendo participar ativamente do projeto de adequao.