Sarbanes-Oxley - SOX

Sobre a Lei

A Lei Sarbanes-Oxley, conhecida também como SOX, é uma lei americana promulgada em 30/06/2002 pelos Senadores Paul Sarbanes e Michael Oxley.

Nela estão envolvidas as empresas que possuem capitais abertos e ações na Bolsa de NY e Nasdaq, inclusive várias empresas brasileiras estão se adequando a esta Lei.

O motivo que a fez entrar em vigor foi justamente a onda de escândalos corporativos-financeiros envolvendo a Eron (do setor de energia), Worldcom (telecomunicações), entre outras empresas, que geraram prejuízos financeiros atingindo milhares de investidores.

O objetivo desta lei é justamente aperfeiçoar os controles financeiros das empresas e apresentar eficiência na governança corporativa, a fim de evitar que aconteçam outros escândalos e prejuízos conforme os casos supracitados.

A lei visa garantir a transparência na gestão financeira das organizações, credibilidade na contabilidade, auditoria e a segurança das informações para que sejam realmente confiáveis, evitando assim fraudes, fuga de investidores, etc. Esta lei pode ser deduzida como uma Lei de Responsabilidade Fiscal Sarbanes-Oxley.

A Organização

Com a implantação da lei, fica realmente constatado, ocorrem algumas alterações na governança corporativa. Atuar em governança corporativa diante da SOX é apresentar a transparência das áreas fiscais e de controladoria das organizações traçando um paralelo com as prestações de contas, tendo como principais envolvidos: CFO, CIO, CEO, TI e as equipes operacionais.

Muitas empresas já estão adequadas a este novo molde regido pela Lei Sarbanes-Oxley, principalmente nos EUA. Com a aplicação desta lei haverá a adequação dos controles internos da organização a SOX, portanto:

01. Será que os controles internos da empresa estão adequados?

02. A estrutura da governança corporativa  (auditoria , código de ética,...) está alinhada aos novos parâmetros?

03. Há o conhecimento das atividades de controle?

Cada caso, é um caso.

A TI

Diante deste cenário, a ação da TI é de fundamental importância nesse processo. É a área responsável pelo controle, segurança da informação e sistemas. Portanto, deverá estar alinhada na adequação desta Lei para garantir às regras de transparência fiscal e financeira.
A seção 404 da Lei Sarbanes-Oxley aborda os impactos diante da área de tecnologia. Deixo aqui esta sugestão de leitura.

Porém para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:

01. DRI – plano de continuidade de negócios (PCN)

02. CobiT  - governança em TI

03. ITIL - gestão de serviços de TI

04. CMM - gestão para o desenvolvimento de software

05. ISO 149977 (BS-7799) - gestão de segurança da informação/PSI

É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, ...), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).

Enfim, estabelecer um monitoramento contínuo e rápido alinhado às regras contidas na SOX.
Uma coisa é certa, desafios não vão faltar – desde, as alterações em processos até as informações (sistemas).

Vale salientar que não basta somente a implantação e o esforço por parte da TI : “A boa governança depende fundamentalmente da conscientização das pessoas sobre práticas corretas de se lidar com a informação.”

Questionar apenas não é o suficiente.

Fonte: http://www.imasters.com.br/artigo/5096/direito/o_que_e_lei_sarbanes-oxley_e_quais_os_impactos_na_ti/

Tópicos Relacionados:

• 3G - Terceira Geração de Celulares

• Biometria

• Blu-ray e HD-DVD

• BPM - Business Process Management

• Business Intelligence "BI"

• Cartilha de Segurança para Internet CERT.br

• Certificado Digital

• CMM - Capability Maturity Model for Software

• COBIT

• Criptografia

• Criptografia de Curvas Elípticas

• Criptografia Clássica X Criptografia Quântica

• CRM - Customer Relationship Management

• Data Mining - Mineração de dados

• Direito Digital

• Engenharia Social

• Fraudes na Internet

• Gerenciamento de Redes

• GPS - Sistema de Posicionamento Global / Global Positioning System

• Grid Computing

• Honeypots e Honeynets

• IDS - Sistema de Detecção de Intrusos

• Inteligência Artificial

• IPV6 - Internet Protocol version 6

• ISO 27001

• ITIL - Information Technology Infrastructure Library

• Linux - Segurança em Linux

• Mac OS X - Segurança

• Mobile Payment

• Nanotecnologia

• Nota Fiscal Eletrônica - NF-e - Prefeitura de SP

• O que HACKER ?

• Perícia Forense na Informática

• PLC - Power Line Communication

• PMI & PMBOK - Gerenciamento de Projetos

• Privacidade

• RFID - Radio Frequency Identification

• Sarbanes-Oxley - SOX

• SAS70

• Smart-Cards

• SOA - Service Oriented Architecture

• Telefonia Celular

• TV Digital

• TVIP - Internet Protocol Television - Tv sobre IP

• Virtualização

• VoIP - Voz sobre IP

• VoWifi Voz sobre redes sem fio WiFI - Wireless

• WEB 2.0

• Web Semântica - O futuro da Internet

• WIMAX - Conceitos

• Windows Vista

• Wireless - WLAN - Wi-Fi

• WiTricity - Transmissão de eletricidade sem fios