Governana Corporativa e Regulamentaes de Compliance 29

principal responsvel por fnanas do emitente, ou pessoas que desempe-

nham funes similares, efetivados pelo comit de diretores do emitente,
pela gerncia ou outras pessoas, para prover garantia razovel relacionada
confabilidade de emisso de relatrios fnanceiros e preparao de
relatrios de resultados fnanceiros para propsitos externos, de acordo com
princpios de contabilidade geralmente aceitos GAAP. Inclui poltica e
procedimentos para:
(1) Manter registros que, em razovel detalhe, com exatido e de forma
correta, refitam as transaes e disposies dos ativos do emitente.
(2) Prover garantia de que as transaes sejam registradas quando neces-
srio para permitir a preparao de declaraes de resultados fnanceiros
de acordo com princpios contbeis geralmente aceitos, e que as receitas e
despesas do emitente sejam feitas somente de acordo com autorizaes da
gerncia e diretores do emitente.
(3) Prover garantia relacionada preveno ou deteco, no momento
preciso, de aquisies no autorizadas, uso ou disposio dos ativos do
emitente que possam ter um efeito material nas declaraes dos resultados
fnanceiros.
O nome dessa lei federal americana, patrocinada pelos congressistas norte-
-americanos Sarbanes e Oxley e publicada em agosto de 2002 para regular
as responsabilidades e prticas de auditoria em empresas abertas, : Public
Accounting Reform and Investor Protection Act.
A Stock Exchange Comission SEC (que vem a ser a equivalente nossa
Comisso de Valores Mobilirios CVM), autoridade que regula o mercado
de capitais norte-americano, tem a responsabilidade por estabelecer as regras
para implantar o Sarbanes-Oxley Act. Tais regras incluem guias para a elabo-
rao de relatrios fnanceiros pelos CEO (Chief Executive Ofcer geralmen-
te o presidente da empresa) e o CFO (Chief Financial Ofcer responsvel
mximo pelas fnanas de uma empresa).
Para defnir regras para os auditores independentes a respeito da lei, foi
criada no contexto da SEC o Public Company Accounting Oversight Board,
que uma organizao no governamental dedicada a criar normas a partir
da lei.
30 Implantando a Governana de TI 3 edio
O SOX (Sarbanes-Oxley Act) composto pelos seguintes ttulos:
Ttulo I : Public Company Accounting Oversight Board. Trata do
PCAOB, que uma organizao no-governamental que deve
registrar as auditorias e estabelecer os padres de auditoria rela-
tivos aos controles financeiros das empresas abertas.
Ttulo II: Auditor Independence. Estabelece que os auditores sejam
independentes e que haja rotatividade entre empresas de auditoria.
Ttulo III: Corporate Responsibility. Atribui as responsabilidades cor-
porativas, em termos da formao de um comit de auditoria, da
sua composio e dos requisitos sobre o envio de relatrios SEC e
outros tipos de conduta requeridos dos CEOs, CFOs e demais dire-
tores.
Ttulo IV: Enhanced Financial Disclosures. Estabelece novas regras
para a elaborao e publicao de resultados fnanceiros, assim como
requer que a administrao mantenha um sistema de controle inter-
no adequado.
Ttulo V: Analyst Conficts of Interest. Estabelece regras para que no
haja confitos de interesse na atuao de analistas de corretoras de
valores ou de administrao de fundos.
Ttulo VI: Comission Resources and Authority. Estabelece regras para
autorizao de fundos para a SEC, assim como a autoridade da SEC
para suspender, temporariamente ou no, empresas e profssionais de
auditoria.
Ttulo VII: Studies and Reports. Aqui o SOX autoriza a SEC a efetuar
estudos e relatrios relativos consolidao de frmas de auditoria,
agncias de rating de risco, violaes profssionais no mbito do
mercado de capitais, anlises dos resultados das aes da SEC e estu-
dos de bancos de investimentos.
Ttulo VIII: Corporate and Criminal Fraud Accountability. Estabelece
regras especfcas e penalidades para a destruio de registros corpora-
tivos, assim como para alterao de dados e falsifcaes.
Ttulo IX: White-Collar Crime Penalty Enhancements. Contm pena-
lidades para crimes do colarinho branco.
Ttulo X: Corporate Tax Returns. Estabelece que o CEO deve, obriga-
toriamente, assinar o imposto de renda da pessoa jurdica.
Governana Corporativa e Regulamentaes de Compliance 31
Ttulo XI: Corporate Fraud Accountability. Defne a responsabilidade
corporativa pela comunicao de informaes fnanceiras de resulta-
dos fraudulentos.
2.2.2 REQUISITOS DO SOX QUE AFETAM TI
Para a TI, as Sees 302 e 404 do SOX so de especial importncia.
A Seo 302 especifca que:
O CEO e o CFO devem revisar os relatrios fnanceiros.
Com base no conhecimento do CEO e do CFO, os relatrios no
contm nenhuma declarao falsa de um fato material ou omisso,
para fazer a declarao de resultados.
Com base no conhecimento do CEO e do CFO, outras informaes
fnanceiras includas representam corretamente, em todos os aspectos
materiais, a condio fnanceira, resultados de operaes e fuxos de
caixa nos perodos representados pelos relatrios.
O CEO e o CFO so responsveis por manter e estabelecer controles
e procedimentos sobre a emisso de relatrios fnanceiros e controles
internos sobre tais relatrios.
Os sistemas de controle interno sobre a emisso de relatrios fnan-
ceiros devem ser projetados sob a superviso do CEO e do CFO,
incluindo as subsidirias.
Os sistemas de controle internos sobre relatrios fnanceiros tambm
devem ser projetados sob a superviso do CEO e do CFO.
Deve ser avaliada a efetividade do sistema de controle sobre a emisso
de relatrios fnanceiros.
Devem ser comunicadas mudanas nos controles internos sobre rela-
trios fnanceiros, considerando o ltimo ano fscal.
Devem ser comunicadas as defcincias dos sistemas de controle in-
terno que possam afetar a habilidade da empresa em registrar, proces-
sar, sumarizar e comunicar informaes fnanceiras.
Deve ser comunicada qualquer fraude que envolva a gerncia ou ou-
tros empregados que tenham um papel signifcante nos registros do
controle interno sobre relatrios fnanceiros.
32 Implantando a Governana de TI 3 edio
A Seo 404, por sua vez, especifca que:
A administrao tem a responsabilidade de estabelecer e manter uma
estrutura adequada de controle interno e procedimentos para relat-
rios fnanceiros.
A administrao deve avaliar a efetividade do sistema de controle in-
terno sobre relatrios fnanceiros.
Deve ser realizada uma auditoria externa especfca sobre a avalia-
o interna da efetividade do sistema de controle interno feita pela
administrao.
Para atender aos requisitos do SOX, as informaes fnanceiras sobre os
resultados devem atender aos seguintes princpios:
O contedo da informao deve ser apropriado.
A informao deve estar disponvel no momento em que for
necessria.
A informao atual ou pelo menos a ltima disponvel.
Os dados e as informaes esto corretas.
A informao acessvel aos usurios interessados.
H um sistema de controle interno sobre relatrios fnanceiros que
garante todos os demais itens anteriores.
Esses requisitos afetam a TI de forma bastante signifcativa. Lembramos
que as informaes fnanceiras e de resultados so oriundas de todos os pro-
cessos de negcio que geram fatos contbeis e fnanceiros para a empresa e que
podem estar automatizados ou no.
Portanto, praticamente todos os sistemas transacionais de uma empresa,
relativos a pagamento de pessoal, pagamento de benefcios a pessoal, transa-
es com fornecedores (compras, aplicao de recursos fnanceiros) e clientes
(vendas, captao de recursos fnanceiros), com acionistas, com o governo,
gesto de recursos fnanceiros, etc., devem ser considerados quando pensamos
no SOX.
Governana Corporativa e Regulamentaes de Compliance 33
No contexto de um sistema de controle interno, os riscos so identifcados
e mitigados, os controles so estabelecidos e executados, os registros e sistemas
de controle so desenvolvidos e mantidos e toda a sistemtica monitorada.
A TI, como sabemos, um elemento crtico como fonte de risco para a
continuidade do negcio e para o atendimento ao SOX.
A Tabela 2.1 mostra as principais implicaes operacionais do SOX para a
TI, considerando os processos de TI (vide em captulos posteriores as consi-
deraes dos modelos de melhores prticas de TI):
Requisitos de qualidade
da informao
Implicaes do SOX
O contedo da
informao deve ser
apropriado.
Processo de desenvolvimento de requisitos de software.
Processo de gerenciamento de requisitos de software.
Mtodos de engenharia de software.
Processos de ver|lcaao (lesle).
Processos de validao (aceitao pelos usurios).
Processos de segurana da informao empregados nos aplicativos.
Processos de aceitao de produtos de terceiros.
Processo de geslao da rudara e da corlguraao.
A informao deve
estar disponvel no
momento em que for
necessria.
Disponibilidade de aplicativos.
Disponibilidade da infraestrutura.
Gerenciamento de incidentes e problemas no ambiente de produo.
Suporte aos usurios.
Gesto de aplicativos e de ativos de TI.
Processos de gerenciamento da infraestrutura.
Segurana da infraestrutura.
Gerenciamento da contingncia.
Gerenciamento de disponibilidade e desempenho.
A informao atual ou
pelo menos a ltima
disponvel.
Processos de gerenciamento de dados.
Planejamento e gerenciamento da contingncia e de desastres.
Segurana da informao na infraestrutura.
Os dados e as
informaes esto
corretos.
Segurana da informao em aplicativos.
Segurana da infraestrutura de TI.
Teste de software.
Corlro|e da rudara e da corlguraao.
Gerenciamento de dados.
Gerenciamento de requisitos.
34 Implantando a Governana de TI 3 edio
Requisitos de qualidade
da informao
Implicaes do SOX
A informao
acessvel aos usurios
interessados.
Segurana da informao referente a controle de acessos e privilgios.
Controle de autorizaes.
H um sistema de
controle interno sobre
re|alor|os lrarce|ros.
Avaliao de riscos de TI.
Gesto da qualidade.
Planos de desastres e recuperao.
Tabela 2.1 Implicaes do SOX para TI
2.2.3 IMPACTO DO SOX NA GOVERNANA DE TI
O SOX impacta a Governana de TI no que diz respeito aos seguintes
aspectos:
As questes relativas ao SOX devem ser tratadas no Plano de Tecno-
logia da Informao.
Novos controles (funcionalidades) em aplicaes do legado devem ser
implantados.
Novas aplicaes devem ser implantadas.
Processos de TI existentes devem ser ajustados e melhorados para mi-
tigar riscos.
Novos processos de TI devem ser projetados e implantados.
Ocorrncia de provveis mudanas na estrutura organizacional de TI
em funo dos processos ajustados e tambm dos novos.
Novos indicadores de desempenho devero ser defnidos e im-
plantados.
Os riscos de TI devem ser monitorados constantemente.
Finalizando este tema, o CIO deve ser pea fundamental no esforo da
empresa para se ajustar ao SOX, devendo participar ativamente do projeto de
adequao.