Artigo It Final- Sox (Idaam)

Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010

ANALISE DE UM ESTUDO DE CASO DA IMPLANTAO DA

CONFORMIDADE SARBANES-OXLEY (SOX) NO SETOR DE

TECNOLOGIA DA INFORMAO (TI) EM UMA EMPRESA DO PLO

INDUSTRIAL DE MANAUS

PETROS MAIA

SARAH PAIXO

ANDR FARIAS

GILVANDRO CAVALCANTI

LUCIO MARCOS

Instituto Dados da Amaznia - IDAAM

Universidade Gama Filho

rea de Exatas e Tecnolgicas

Manaus - AM

Resumo

Este trabalho apresenta uma anlise sobre a Lei Sarbanes-Oxley e o seu impacto na implantao da

conformidade no setor TI de uma empresa. A partir desta anlise props-se uma metodologia eficiente e clara

para os procedimentos a serem seguidos na implantao da Lei SOX envolvendo a rea de TI. Uma vez estruturada, esta anlise da conformidade SOX servir de base para o desenvolvimento do tema. Essa anlise se

baseou em pontos fundamentais como: i) um estudo sobre o desenvolvimento dos controles de TI e ii) um estudo dos principais assuntos e objetivos alcanados por esta implantao. As principais contribuies deste trabalho

so: servir de base para um maior conhecimento da literatura existente atualmente sobre a conformidade SOX e

propor sugestes de pesquisas futuras na rea. Palavras-chave: Sarbanes-Oxley, SOX.

1. INTRODUO

A Lei Sarbanes-Oxley, sancionada pelo presidente dos Estados Unidos em 30 de julho de 2002, surgiu como uma

resposta aos escndalos contbeis das companhias Enron e WorldCom, ocorridos naquele pas em 2001, e que

expuseram fortemente as falhas e fraquezas de controles internos destas, que impediram garantir a veracidade das

informaes financeiras divulgadas aos acionistas e demais interessados. Esta lei afeta, principalmente, a forma e a

essncia das divulgaes da situao patrimonial e financeira das empresas cujas aes so negociadas nas bolsas norte-

americanas. A iniciativa teve por escopo a tentativa de recuperao da confiana dos acionistas e dos investidores em

geral no mercado de capitais americano, estabelecendo uma regulamentao rgida para as empresas norte-americanas e

tambm as estrangeiras com aes nas bolsas de valores nos Estados Unidos. Segundo Borgerth (2007) a lei prev

multas que variam de 1 milho e 5 milhes de dlares e penas de recluso entre 10 e 20 anos para os CEOs (Chief

Executive Officer) e CFOs (Chief Finance Officer) das empresas. Estima-se que as empresas americanas gastaro entre

2 e 5 milhes de dlares para a adequao de seus controles internos a SOX.

Nesse contexto de fragilidade da segurana dos dados, a rea de tecnologia da informao (TI) tem um papel

importante. De acordo com Mayer (2006), a rea de TI deve cobrir todos os aspectos de segurana e controle das

informaes digitais da empresa, devendo desenhar processos de controle das aplicaes para assegurar a confiabilidade

do sistema operacional, a veracidade dos dados de sada e a proteo de equipamentos e arquivos. Para cumprir essas

exigncias os CIOs devem rever todos os processos internos cobrindo desde as metodologias de desenvolvimento de

sistemas at as reas de operaes de computadores. Alm disso, promover uma conscientizao nas reas usurias de

seus recursos sobre os aspectos de segurana e cuidados na manipulao das informaes, tais como: e-mails, compartilhamento de diretrios nos computadores, compartilhamento de senhas de acesso aos aplicativos, etc. Estes

aspectos de engenharia social tambm devem ser reforados para o pessoal de TI, que s vezes no conseguem

determinar os riscos de segurana em suas solues.

A Lei SOX possui um significante e direto impacto na rea de Tecnologia da Informao da empresas. Em suas 1107

sees, o Ato Sarbanes-Oxley imputa responsabilidades nunca vistas perante os diretores de corporaes, que vo desde

o pagamento de multas ao cumprimento de penas de recluso e sanes estendidas aos auditores que atestarem balanos

com nmeros fraudulentos. As sees 302 e 404 so as mais comentadas, sendo que a seo 302 trata da

responsabilidade pessoal dos diretores executivos e diretores financeiros e a seo 404 determina uma avaliao anual


dos controles e procedimentos internos para fins de emisso dos relatrios financeiros. , portanto, a seo que mais

impacta a rea de TI.

A SOX est diretamente vinculada aos relatrios financeiros e estes relatrios esto intrinsecamente relacionados ao

ambiente de IT. Isto porque a maioria destes relatrios so gerados e consultados por meio de Sistemas de TI.

As informaes reportadas do financeiro precisam ser seguras e rpidas. A eficcia deste processo depender

significamente dos controles de TI. Enquanto os controles de TI estiverem sendo utilizados devidamente podem

prevenir de riscos de relatrios fraudulentos e detectar erros com antecedncia.

Neste artigo ser apresentada uma anlise da metodologia utilizada para implantao da conformidade SOX seguindo

todas as exigncias promulgadas pela Lei no desenvolvimento de controles internos e sua contribuio na eficcia da

segurana de dados sigilosos.

2. METODOLOGIA

Este trabalho foi desenvolvido com o intuito de analisar os mtodos de implantao da conformidade SOX na rea de TI

e os benefcios gerados por esta implantao nas empresas. Nesta analise, foram abordamos a fundamentao terica

(seo 3) incluindo a importncia da conformidade SOX e identificao dos requisitos necessrios para a criao dos

controles detalhando as etapas na sequncia da pesquisa. Em seguida so demonstrados os benefcios da implantao

para a rea de TI. Aps o detalhamento das etapas de implantao da SOX e seus benefcios, demonstramos um estudo

de caso (seo 4) de uma implantao da conformidade SOX em uma empresa do Plo industrial de Manaus apontando

os resultados para corporao e a melhoria nos processos de responsabilidade da TI.

3. FUNDAMENTAO TERICA

3.1 A importncia da rea de TI mediante a conformidade SOX

Como no possvel separar processos de negcios e tecnologia no panorama corporativo atual, uma avaliao da infra-

estrutura operacional e pessoal de TI das empresas igualmente requerida. A Seo 404 do Ato Sarbanes-Oxley o

principal foco de ateno das empresas neste particular, por trazer as determinaes sobre os controles de processos

internos e sistemas contbeis da empresa.

A conformidade SOX est diretamente relacionada aos relatrios financeiros, e os relatrios financeiros esto

diretamente relacionados rea de TI das empresas. Isto evidenciado quando verificamos que os processos que

envolvem a emisso dos relatrios ocorrem por meio de sistemas de TI.

De acordo com Anand (2007) a eficincia na criao dos relatrios financeiros depende significamente dos controles de

TI. Quando os controles de TI esto funcionando com eficcia, isto ir colaborar com um menor risco de relatrios

fraudulentos e minimizar os erros antes de iniciar o ciclo.

Dentre as exigncias da conformidade SOX, a segurana deve ser adequada e evidenciada seguindo os critrios de

segurana abrangendo desde o acesso fsico aos servidores como acesso aos sistemas.

A garantida de que os dados esto sendo preservados e protegidos pode ser comprovada nos testes peridicos dos

controles, verificando o grau de segurana e eficcia dos procedimentos internos.

De acordo com Deloitte (2005), a importncia de salientar o Ato Sarbanes-Oxley requer mais do que a documentao

citada ou o estabelecimento de controles financeiros. Ao regular a atividade de contabilidade e auditoria das empresas

de capital aberto, a SOX reflete diretamente seus dispositivos nos sistemas de tecnologia da informao. 3.2 Segurana da Informao e SOX

Por fora do Ato Sarbanes-Oxley, temos a obrigatoriedade da observncia de prticas de segurana em sistemas e redes

e critrios rgidos para uso de aplicaes terceirizadas por companhias que se encontram ao alcance da lei. Invaso de

sistemas, ataques, vrus, acesso indevido a bancos de dados, fraudes de senhas e demais ameaas segurana da

informao de uma corporao podem, se no houver prova suficiente de adoo de medidas preventivas coordenadas

com os parmetros da seo 404, implicar em responsabilidade direta dos administradores, surgindo da possibilidades

concretas de sanes civis e penais.

Neste momento, dois pontos devem ser observados cuidadosamente no que se refere ao uso dos sistemas de informao

inserido no mbito do Ato Sarbanes-Oxley:

Segurana de sistemas de informao - A adequao do contedo da SOX deve ocorrer entre toda a cadeia de comunicao da empresa, principalmente nos recursos concernentes a informaes financeiras.

Controle de registros - Um arquivo de registros de procedimentos fundamental para a tranqilidade dos administradores. Estes registros devem ser tanto tangveis (em papel) ou intangveis (arquivos digitais e demais

mdias) e a redundncia em sistemas de backup altamente recomendada. No bojo da lei encontram-se


disposies que penalizam severamente a falsificao, destruio e perda de documentos e registros, bem como

prevem a observao de prazos para seu armazenamento aps o fechamento de cada exerccio fiscal.

3.3 reas do controle de TI

A conformidade Sarbanes-Oxley apresenta um impacto significativo sobre a estrutura de TI da maioria das empresas.

No entanto, um grande problema se apresenta: no existem especificaes sobre que controles tm de ser estabelecidos

dentro da estrutura de TI para a conformidade com a nova legislao. As reas em que o departamento de tecnologia da informao est vinculado devem abranger a monitorao das

transaes realizada no sistema e como estas informaes esto sendo armazenadas e protegidas.

Dentre estas reas podemos destacar:

Armazenamento das informaes geradas no operacional e financeiro

Gravao das transaes financeiras, organizacionais e sistemas de relatrios

Atividades executivas e administrativas Esta claro que as informaes coletadas na rea de TI que estiverem inacessveis ir comprometer severamente a

integridade dos relatrios financeiros de uma empresa. por esta razo que a rea de TI to importante na

implantao da conformidade SOX. Muitas empresas temem o custo para implantar estes controles e outras

simplesmente no sabem por onde comear. Dificultando este cenrio, a SOX no providencia informao a respeito da

natureza dos controles de TI a serem adotados na implantao da conformidade SOX.

3.4 Padres de procedimentos e controles internos

A conformidade Sarbanes-Oxley apresenta um impacto significativo sobre a estrutura de TI da maioria das empresas.

No entanto, um grande problema se apresenta: no existem especificaes sobre que controles tm de ser estabelecidos

dentro da estrutura de TI para a conformidade com a nova legislao.

A seo 404 da SOX determina uma avaliao anual dos controles e procedimentos internos para a emisso de

relatrios financeiros. Alm disso, o auditor independente da empresa deve emitir um relatrio distinto que ateste a

assero da administrao sobre a eficcia dos controles internos e dos procedimentos executados para a emisso dos

relatrios financeiros. A avaliao fornecida aos auditores independentes deve ser bem documentada e abrangente. Um

checklist resumido com essa finalidade inclui:

Informaes acerca do ambiente de controles gerais da empresa;

Descrio do processo adotado pela administrao para identificar, classificar e avaliar riscos que possam impedir que a empresa alcance seus objetivos de emisso de relatrios financeiros;

Descrio completa dos objetivos de controle criados pela administrao para direcionar os riscos identificados e as respectivas atividades de controle;

Descrio dos sistemas de informtica e procedimentos de comunicao adotados para fornecer suporte ao tpico anterior;

Resultados e documentao-suporte da avaliao mais recente feita pela administrao sobre a eficcia do desenho e das operaes das atividades individuais de controle;

Relao de todas as deficincias encontradas no desenho e na implementao das atividades de controle, bem como os procedimentos propostos para sua correo;

Descrio do processo adotado para comunicar deficincias significativas e insuficincias materiais aos auditores independentes e ao Comit de Auditoria;

Descrio dos procedimentos de monitoramento executados para assegurar que a estrutura de controles internos est operando conforme planejado e que os resultados dos procedimentos de monitoramento so revisados e

executados;

Descrio do processo de criao da divulgao e das atividades de controle relacionadas.

3.5 Adoo de padres de documentao e controle

Como no h meno especfica sobre o que a TI precisa fazer para atender a conformidade SOX, existe a possibilidade

de utilizar um dos vrios padres disponveis para definir e documentar os controles internos da empresa. Esta tarefa

tem sido facilitada pela adoo de ferramentas, indicadores e metodologias que auxiliam os profissionais no

dimensionamento e uso efetivo dos sistemas. Segundo a seo 404 da SOX, os aplicativos e correspondente infra-

estrutura que sustentam processos-chave, objetivos do controle e afirmaes relevantes relacionadas a contas e

divulgaes significativas nas demonstraes financeiras devem ser includos no escopo do processo de avaliao dos

controles internos da administrao. Considerando que os aplicativos de TI freqentemente suportam o incio, a


autorizao, o registro, o processamento e a divulgao de transaes financeiras, os controles de TI devem representar

uma parte integrante do controle interno sobre os relatrios financeiros.

Convm ressaltar que aplicativos de TI voltados ao usurio final, tais como planilhas eletrnicas e relatrios, podem

apresentar uma empresa com um conjunto exclusivo de necessidades de controles gerais de TI. Isso porque ao

disponibilizar para o usurio final tais tipos de ferramentas mais flexveis, aumenta o risco de erros nas demonstraes

financeiras derivados de dados incompletos ou incorretos.

Uma vez que o resultado proveniente desses aplicativos freqentemente toma o carter de documento oficial, no qual a

administrao ir confiar no processo de preparao dos seus relatrios financeiros, eles devero ter os seus controles

internos identificados e includos no processo de documentao e testes.

3.6 Relevantes componentes de TI para conformidade SOX

As empresas que esto implantando a conformidade SOX reconhecem que a rea de TI est diretamente envolvida neste

processo. As utilizaes dos softwares e dos processos a serem adotados contribuem para um melhor controle dos testes

e uma monitorao mais simples e eficiente dos requisitos.

Alguns critrios nos sistemas de TI e melhorias dos processos devem ser adotados na implantao da conformidade

SOX:

(i) Rapidez na emisso de relatrios: A SOX requisita que os investidores e outras reas envolvidas recebam

relatrios financeiros em tempo hbil. Este requerimento demanda que a rea de TI estabelea sistemas que iro

armazenar estes dados.

(ii) Controles internos: Um dos principais objetivos da SOX garantir que as empresas possam manter seguro a

integridade e acuracidade dos relatrios financeiros. Os controles devem ser monitorados e testados regularmente. Sem

uma tecnologia e um software adequados, os processos relacionados aos controles internos podem ser custosos e lentos

para a empresa. A rea de TI tambm responsvel por estabelecer sistemas que possibilite a alta gerencia envolvida, a

monitorao dos controles e informaes financeiras.

(iii) Gravao dos dados: A SOX exige que os documentos sejam mantidos durante sete anos, isto significa que a rea

de TI precisa garantir o backup destes dados.

3.7 Etapas no desenvolvimento do controle de acessos

Uma das mais importantes etapas na criao de controles de TI estabelece medidas de segurana no acesso dos dados

pelos membros da empresa.

Criao de uma lista de usurios que possuem acesso direto e contribuem na incluso de informaes. Esta etapa requer uma completa lista dos funcionrios da empresa que possuem privilgio para consultar, editar e

criar documentos financeiros

Estabelecer a hierarquia de segurana dos documentos acessados compreende identificar a lista de documentos sigilosos que devem ser acessados pelas reas relacionadas.

Limitar o acesso dos documentos para os funcionrios com perfil para acessar os mesmos.

Criar um nico repositrio dos documentos onde os usurios iro acessar com sua conta e senha, porm sero direcionados aos documentos ao qual o perfil do mesmo esta habilitado a acessar e modificar. Os documentos

ao qual o usurio no possuir este privilgio de gerenciar sero acessados com permisso somente de leitura.

1- Etapas no desenvolvimento do controle de acessos

Identificar todos os Usurios

Estabelecer nveis de

segurana para o acesso

Limitar acesso

aos usurios

envolvidos

Controle

de Acesso


3.8 Etapas para uma implantao de sucesso dos Controles de TI

As etapas para uma implementao efetiva dos controles de TI incluem:

Identificar os riscos: A primeira etapa na implementao dos controles identificar o alto-risco das reas envolvidas, ao qual podem influenciar nos documentos financeiros. Identificar os riscos pode demonstrar uma

vulnerabilidade nas transaes das informaes no qual os dados podem ser misturados e falsificados. Por fim,

a gerencia de TI deve evoluir os seus sistemas atuais, incluindo uma acuracidade de todos os documentos

relevantes.

Monitoramento: Os processos para auditoria devem ser desenvolvidos para a rea de TI. Testes devem ser criados para facilitar uma auditoria interna dos controles e sua eficcia. Esta auditoria interna dos controles de

TI deve ser conduzida pela diviso de TI da corporao e posteriormente os mesmos testes serem avaliados e

validades por uma auditoria externa.

Comunicao: Canais de comunicao devem ser estabelecidos para garantir que a gerencia de TI recebe as informaes em tempo hbil.

3.9 Estabelecendo Controle de Acesso: Desafios e Solues

Um dos grandes componentes dos controles de TI garantir que dados e informaes possam ser acessados e alterados

somente pelas pessoas apropriadas.

Referente ao controle de acesso para a empresa precisa:

Limitar o acesso aos documentos restritos, forando um acesso seguro com ingresso de informaes de usurio e senha

Minimizar os riscos associados com as senhas. Um acesso seguro efetivamente seguro se o sigilo no quebrado, ou seja, funcionrios que compartilham senhas ou definem senhas muito simples pode oferece risco

a segurana dos documentos.

Estabelecer segurana de acesso de acordo com o a rea e cargo de cada funcionrio. De acordo com nvel de acesso do usurio o mesmo no ter acesso, ou somente acesso de leitura ou privilgio de edio no

documento.

Monitorar e testar a eficincia dos controles. Estes testes devem ser monitorados para contribuir com a auditoria das atividades dos usurios, as datas dos acessos, a durao do acesso e quantos arquivos foram modificados.

3.10 Fluxo de trabalho

Segundo Lahti e Peterson (2006) a automao a chave para a demonstrao da conformidade e sua sustentao com o

tempo.

A figura 2 mostra as categorias de automao do fluxo de trabalho que se enquadram no escopo da conformidade SOX

e como esto relacionadas com as metas gerais de seus objetivos de conformidade.

Qualquer mudana pode e deve ser aplicada ao mesmo processo de automao, o que importante para a conformidade

SOX j que seus auditores estaro esperando a justificativa, aprovao e documentao de todas as mudanas em seu

ambiente que possam afetar seus sistemas financeiros e/ou a cadeia de relatrios.

Figura 2- Categorias de automao de fluxo de trabalho SOX

Disponibilidade

Segurana

Sustentabilidade

Responsabilidade

Suporte a

operaes

Controle de

acesso

Gerenciamento

da mudana

Gerenciamento

da conformidade


3.11 Benefcios da conformidade SOX na rea de TI

A implantao da conformidade SOX contribui diretamente para uma melhoria das transaes internas nos sistemas

otimizando processos e rastreabilidade dos dados.

Dentre estas melhorias podemos destacar:

- Os avanados controles reduzem os riscos de corrupo providenciando mais segurana aos bancos e estabelecendo

melhor segurana para as empresas e seus funcionrios protegendo tambm os investidores.

- Melhoria nos sistemas de TI de acordo com o crescimento da demanda e segurana das informaes contribuindo com

a eliminao de processos e aplicativos desnecessrios.

- Com o desenvolvimento e gerenciamento dos controles desenvolvidos pela rea de TI ocasionou uma melhor ateno

das organizaes para a rea motivando CEOs e CFOs a enxergarem o setor como uma diviso de extrema importncia

para a manuteno e integridade do negcio. Executivos hoje entendem que a diviso de TI vital para as empresas.

- Com as exigncias da conformidade SOX mediante aos controles dos documentos e reviso dos processos, a rea de

TI precisa interagir e estar alinhados com outros departamentos de uma empresa como recursos humanos e setor

financeiro garantindo a eficincia do cumprimento exigido na regulamentao da SOX.

- Preveno da perda de informaes reduz o risco de violao dos sistemas.

4. Anlise do estudo de Caso da Implantao da conformidade SOX no setor de TI em uma empresa do plo

industrial de Manaus

A Thomson Multimdia uma multinacional presente em vrios pases e fabrica na planta do Brasil produtos eletro-

eletrnicos dentre eles decodificadores, modems e receptores via satlite. Por ser uma empresa de grande porte, a

mesma atravs de uma deciso da corporao, impulsionada pela exigncia da Lei SOX, desenvolveu um plano de

implantao da conformidade SOX em todas suas unidades. A partir de 2007 a Thomson inicio a execuo do plano de

implantao da conformidade SOX na fbrica do Brasil.

Para implantar a conformidade SOX foi essencial analisar o cenrio documental da empresa e seus acessos, verificando

todas as variveis necessrias para atender as exigncias da conformidade, alinhando os documentos com os

departamentos envolvidos no fluxo dos dados da empresa.

Foi fundamental para o sucesso da implantao da conformidade que o departamento de TI estivesse sincronizado com

o departamento financeiro e de recursos humanos para que os controles pudessem ser devidamente atualizados de

acordo que forem ocorrendo s mudanas na documentao.

Dentre os fatores que precisaram ser relevados na observncia das exigncias da conformidade podem ser destacados:

Os recursos que sero necessrios adquirir para adequao na Central de Dados e na infraestrutura presente na empresa.

A reviso poltica de segurana da empresa focando os nveis de acesso e restrio dos dados.

Rastreamento e registro dos processos executados na empresa que envolva desde a criao de uma nova conta usurio a solicitaes de mudana no sistema.

Verificar se os dados esto sendo preservados e protegidos garantindo a recuperao dos mesmos em caso de perca ou modificao de informaes.

Revisar todas as contas dos usurios existentes, desabilitando o acesso de ex-funcionrios Durante a implantao da conformidade SOX foram identificados pontos fortes que contriburam para a viabilidade e

desenvolvimento das exigncias apontadas nas primeiras auditorias e tambm verificamos os pontos fracos que

provocaram certa resistncia e dificuldade na adequao dos procedimentos na implantao.

Dentre os pontos fortes podemos destacar:

O investimento disponibilizado pela empresa para compra de equipamentos e material que atendam aos critrios de segurana. Com este investimento a empresa pode investir mais em tecnologia e itens de segurana

proporcionando uma melhor qualidade no desempenho dos seus equipamentos e elevando o grau de segurana

dos mesmos.

Mobilizao das reas envolvidas com o SOX para reviso e desenvolvimento da documentao exigida. Esta mobilizao entre as reas contribui para que ocorra o cumprimento rigoroso dos procedimentos adotados

garantindo a confiabilidade dos dados e aumento na segurana dos mesmos.

Auditorias internas pela prpria corporao para verificar se os testes esto sendo feitos e os controles atualizados. Estas auditorias so importantes porque pode ser verificada a eficcia dos testes e se os mesmos

esto alinhados com os itens exigidos pelos auditores externos.

Dentre os pontos fracos identificamos:

Pouco conhecimento na Lei Sarbanes-Oxley ao qual prejudica em primeira instncia o desenvolvimento dos procedimentos exigidos e adequao dos controles existentes.


A adequao ao cumprimento dos novos procedimentos visto por alguns usurios como um caminho muito burocrtico para na solicitao de mudanas em seus procedimentos internos

Falha na segurana na infraestrutura acarreta um alto risco de perda das informaes de acesso restrito, prejudicando e expondo a empresa a possveis fraudes e sabotagens.

Para o inicio da implantao da conformidade SOX na empresa foi necessrio realizar um levantamento dos dados e

revisar toda documentao existente, as polticas e procedimentos adotados, infra-estrutura e segurana da informao.

Aps esta primeira reviso foram levantados todos os requisitos exigidos pela conformidade SOX e os documentos que

precisavam ser desenvolvidos e adequados para serem atualizados nos controles existentes no sistema adotado.

A corporao desenvolveu um sistema onde todos estes controles foram disponibilizados para ser atualizados com os

documentos e testes dos mesmos.

Para cada controle existe uma serie de itens que precisaram ser atualizados periodicamente de acordo com as mudanas

ocorridas no ambiente.

No que compete a TI, os controles foram divididos em Infraestrutura da Central de Dados e Servidores da Central de

Dados.

Tabela 1. Abaixo segue documentao exigida no controle de infraestrutura da central de dados:

Proteo fsica dos recursos de TI

Risco Controle Evoluo

1. Acesso de pessoas no autorizadas central de

dados

1.1. O controle de acesso a

central de dados deve ser

aplicado ao um ambiente

como proteo portas e

paredes sendo que o acesso

deve ser feito pelo pessoal

autorizado e a porta precisa ter

um dispositivo para fechar

automaticamente.

- Documento no desenvolvido

- Documento desenvolvido no necessrio

testar.

- Documento desenvolvido, mas no testado.

- Documento desenvolvido e testado em

plena operao.

1.2 Controle de acesso restrito

as todos os equipamentos

incluindo servidores,

computadores, switches,

roteadores e UPS que no

estejam localizados dentro do

ambiente da central de dados.



testar.



plena operao.

2. Dano fsico aos equipamentos na central

de dados

2.1 Controle de ambiente: a

central de dados precisa estar

equipada de acordo com as

normas de segurana exigidas

incluindo detectores de

fumaa e gua, extintor de

incndio e no-breaks que

garantam a no falta de

energia.



testar.



plena operao.

3. Normas de segurana no atendidas pela

central de dados

terceirizada

3.1 Os controles de TI devem

ser seguidos pela empresa que

terceiriza o servio.



testar.



plena operao.

4. Os incidentes no so registrados e no so

corrigidos em um tempo

hbil

4.1 Controle de incidentes

para registrar os incidentes

que causem impactos nos

recursos de TI e afetam a

produtividade.



testar.



plena operao.


Tabela 2. Abaixo segue documentao exigida no controle dos Servidores na Central de Dados:

Backup e Restaurao

Risco Controle Evoluo

1- Backup no realizado regularmente

1.1. Controle do registro dos

backups so mantidos e

gerenciados pelos

responsveis na TI.



testar.



plena operao.

1.2 Controle de agendamento

do backup deve ser

desenvolvido de acordo com a

necessidade da empresa.



testar.



plena operao.

1.3 Controle de acesso restrito

das pessoas responsveis pela

administrao da ferramenta

de backup na TI.



testar.



plena operao.

2- Backups no podem ser restaurados

normalmente

2.1 Procedimento detalhado de

recuperao e teste do backup,

incluindo software e hardware.



testar.



plena operao.

3- As mdias de backups no so

armazenadas em

lugar apropriado

3.1 As mdias de backup so

armazenadas em um local

seguro e com acesso restrito

somente a equipe de TI

responsvel.



testar.



plena operao.

4- Acesso das contas de usurios

4.1 Reviso a cada 6 meses

das contas dos usurios com

acesso a rede a aos sistemas

incluindo conta com privilgio

de administrador.



testar.



plena operao.

5- Sistemas com conta de acesso no

autenticado

5.1 As senhas das contas de

acesso administrativos padro

aos sistemas dever ser

mudados.



testar.



plena operao.

6- Mudana nos sistemas sem

autorizao.

6.1 Procedimento de mudana

deve ser registrado e a

execuo deve ser autorizado

pela organizao



testar.



plena operao.

7- Atualizaes e modificaes no

testadas nos

sistemas

7.1 Todas as atualizaes e

alteraes devem ser testadas

antes de aplicar nos sistemas

da produo

Documento no desenvolvido


testar.




plena operao.

Os resultados da implantao da conformidade SOX refletiram positivamente na corporao contribuindo em uma

maior acuracidade e segurana no acesso dos dados confidncias da empresa incluindo relatrios financeiros. Com os

procedimentos exigidos pela conformidade, as reas envolvidas esto mais sincronizadas a respeito das mudanas dos

documentos proporcionando que os controles estejam sempre atualizados.

Nas auditorias foi necessrio evidenciar que todos os procedimentos esto sendo cumpridos e os controles sendo

atualizados de acordo com a periodicidade determinada.

Aps a realizao da primeira auditoria interna da conformidade SOX foram detectados falhas de segurana nos

procedimentos demonstrando fragilidade nos processos existentes anteriormente na fbrica. Aps as correes e testes,

foram ajustados os documentos e procedimentos atendendo os critrios de segurana demonstrando mais estabilidade

para a corporao no cenrio financeiro.

A aplicabilidade dos mtodos a serem adotados em uma implantao da conformidade SOX pode ser revisada

observando os critrios apontados na auditoria externa e seguindo um esquema de adequao e criao de cada controle

e seus devidos testes, visando busca por uma padronizao desta metodologia favorecendo um melhor embasamento

terico para a aplicao e futura implantao da conformidade SOX em uma empresa. A orientao no desenvolvimento

de ferramentas que ofeream recursos para elaborar um plano de implantao, pode ser incorporada na metodologia

apresentada, contribuindo para uma viso mais detalhada dos controles e especificando os riscos e testes que sejam

relevantes em uma auditoria na corporao.

5. Concluses

Este artigo apresenta os conceitos e mtodos da implantao da conformidade SOX objetivando divulgar quais os

procedimentos a serem adotados para atender os requisitos da Lei nas empresas. Esta conformidade orienta as empresas

a proteger seus dados financeiros e informaes confidenciais restringindo os acessos somente as pessoas chaves da

corporao mantendo controles definidos e atualizados de acordo com as mudanas nos documentos.

Foi analisado um estudo de caso de uma empresa que executou a implantao da conformidade, destacando os critrios

exigidos e os procedimentos executados pela empresa revisando seus documentos e desenvolvendo novos para atender a

SOX. Para demonstrar na prtica esta implantao da conformidade SOX, relatamos aqui um caso de sucesso de uma

fbrica que seguiu as exigncias da Lei e quais procedimentos a mesma adotou na criao dos controles especficos

envolvendo a rea de TI.

Um resumo desta implantao mostrada a seguir:

Foi verificado o cenrio atual dos procedimentos e documentos da empresa Houve uma busca de investimento na infraestrutura que favorea a segurana exigida Foi revisada a poltica de segurana existente Foi revisado os acessos dos documentos Foi revisado todas as contas de usurios Foi identificado os pontos fortes e pontos fracos durante a implantao Foi criado um sistema de armazenamentos dos controles pela corporao e disponibilizada a planta do Brasil

para incluso de toda documentao exigida e devidos testes.

O cumprimento da Lei Sarbanes-Oxley pode ser uma tarefa difcil, mas com pesquisa e planejamento adequados ela

pode ser usada para corrigir deficincias adicionais na estrutura de TI das empresas adequando-as nova realidade que

se apresenta. A partir da promulgao do Ato Sarbanes-Oxley, o que era recomendvel passa a ser obrigao legal: uma

boa governana corporativa e a tica nos negcios das corporaes com presena no mercado financeiro de capital

aberto.

6. Agradecimento

Agradecemos a Universidade Gama Filho pelo apoio acadmico proporcionando para a elaborao deste trabalho e

especial a orientadora deste artigo a Prof.(a). Nvea Teles e a toda equipe que participou no desenvolvimento deste

trabalho.

7. Referencias Bibliogrficas

ANAND, S. Essentials of Sarbanes-Oxley , New Jersey, 2007.

BORGERTH, V. SOX Entendendo a Lei Sarbanes-Oxley, So Paulo, 2007


LAHTI, C; PETERSON, R. Sarbanes-Oxley Conformidade TI usando COBIT e ferramentas open source, Rio de

Janeiro, Ed. Alta Books, 2006

DELOITTE. Lei Sarbanes-Oxley: Guia para melhorar a governana corporativa atravs de eficazes controles

internos. Disponvel em http://deloitte.com.br>. Acesso em 08 out. 2005.

FAGUNDES, Eduardo Mayer. A lei Sarbanes-Oxley e seu impacto em TI. Artigo disponvel em:

. Acesso em: 08 set. 2006.

Artigo It Final- Sox (Idaam)

Documents

Transcript of Artigo It Final- Sox (Idaam)