Artigo It Final- Sox (Idaam)
-
Upload
petros-maia -
Category
Documents
-
view
22 -
download
0
description
Transcript of Artigo It Final- Sox (Idaam)
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
ANALISE DE UM ESTUDO DE CASO DA IMPLANTAO DA
CONFORMIDADE SARBANES-OXLEY (SOX) NO SETOR DE
TECNOLOGIA DA INFORMAO (TI) EM UMA EMPRESA DO PLO
INDUSTRIAL DE MANAUS
PETROS MAIA
SARAH PAIXO
ANDR FARIAS
GILVANDRO CAVALCANTI
LUCIO MARCOS
Instituto Dados da Amaznia - IDAAM
Universidade Gama Filho
rea de Exatas e Tecnolgicas
Manaus - AM
Resumo
Este trabalho apresenta uma anlise sobre a Lei Sarbanes-Oxley e o seu impacto na implantao da
conformidade no setor TI de uma empresa. A partir desta anlise props-se uma metodologia eficiente e clara
para os procedimentos a serem seguidos na implantao da Lei SOX envolvendo a rea de TI. Uma vez estruturada, esta anlise da conformidade SOX servir de base para o desenvolvimento do tema. Essa anlise se
baseou em pontos fundamentais como: i) um estudo sobre o desenvolvimento dos controles de TI e ii) um estudo dos principais assuntos e objetivos alcanados por esta implantao. As principais contribuies deste trabalho
so: servir de base para um maior conhecimento da literatura existente atualmente sobre a conformidade SOX e
propor sugestes de pesquisas futuras na rea. Palavras-chave: Sarbanes-Oxley, SOX.
1. INTRODUO
A Lei Sarbanes-Oxley, sancionada pelo presidente dos Estados Unidos em 30 de julho de 2002, surgiu como uma
resposta aos escndalos contbeis das companhias Enron e WorldCom, ocorridos naquele pas em 2001, e que
expuseram fortemente as falhas e fraquezas de controles internos destas, que impediram garantir a veracidade das
informaes financeiras divulgadas aos acionistas e demais interessados. Esta lei afeta, principalmente, a forma e a
essncia das divulgaes da situao patrimonial e financeira das empresas cujas aes so negociadas nas bolsas norte-
americanas. A iniciativa teve por escopo a tentativa de recuperao da confiana dos acionistas e dos investidores em
geral no mercado de capitais americano, estabelecendo uma regulamentao rgida para as empresas norte-americanas e
tambm as estrangeiras com aes nas bolsas de valores nos Estados Unidos. Segundo Borgerth (2007) a lei prev
multas que variam de 1 milho e 5 milhes de dlares e penas de recluso entre 10 e 20 anos para os CEOs (Chief
Executive Officer) e CFOs (Chief Finance Officer) das empresas. Estima-se que as empresas americanas gastaro entre
2 e 5 milhes de dlares para a adequao de seus controles internos a SOX.
Nesse contexto de fragilidade da segurana dos dados, a rea de tecnologia da informao (TI) tem um papel
importante. De acordo com Mayer (2006), a rea de TI deve cobrir todos os aspectos de segurana e controle das
informaes digitais da empresa, devendo desenhar processos de controle das aplicaes para assegurar a confiabilidade
do sistema operacional, a veracidade dos dados de sada e a proteo de equipamentos e arquivos. Para cumprir essas
exigncias os CIOs devem rever todos os processos internos cobrindo desde as metodologias de desenvolvimento de
sistemas at as reas de operaes de computadores. Alm disso, promover uma conscientizao nas reas usurias de
seus recursos sobre os aspectos de segurana e cuidados na manipulao das informaes, tais como: e-mails, compartilhamento de diretrios nos computadores, compartilhamento de senhas de acesso aos aplicativos, etc. Estes
aspectos de engenharia social tambm devem ser reforados para o pessoal de TI, que s vezes no conseguem
determinar os riscos de segurana em suas solues.
A Lei SOX possui um significante e direto impacto na rea de Tecnologia da Informao da empresas. Em suas 1107
sees, o Ato Sarbanes-Oxley imputa responsabilidades nunca vistas perante os diretores de corporaes, que vo desde
o pagamento de multas ao cumprimento de penas de recluso e sanes estendidas aos auditores que atestarem balanos
com nmeros fraudulentos. As sees 302 e 404 so as mais comentadas, sendo que a seo 302 trata da
responsabilidade pessoal dos diretores executivos e diretores financeiros e a seo 404 determina uma avaliao anual
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
dos controles e procedimentos internos para fins de emisso dos relatrios financeiros. , portanto, a seo que mais
impacta a rea de TI.
A SOX est diretamente vinculada aos relatrios financeiros e estes relatrios esto intrinsecamente relacionados ao
ambiente de IT. Isto porque a maioria destes relatrios so gerados e consultados por meio de Sistemas de TI.
As informaes reportadas do financeiro precisam ser seguras e rpidas. A eficcia deste processo depender
significamente dos controles de TI. Enquanto os controles de TI estiverem sendo utilizados devidamente podem
prevenir de riscos de relatrios fraudulentos e detectar erros com antecedncia.
Neste artigo ser apresentada uma anlise da metodologia utilizada para implantao da conformidade SOX seguindo
todas as exigncias promulgadas pela Lei no desenvolvimento de controles internos e sua contribuio na eficcia da
segurana de dados sigilosos.
2. METODOLOGIA
Este trabalho foi desenvolvido com o intuito de analisar os mtodos de implantao da conformidade SOX na rea de TI
e os benefcios gerados por esta implantao nas empresas. Nesta analise, foram abordamos a fundamentao terica
(seo 3) incluindo a importncia da conformidade SOX e identificao dos requisitos necessrios para a criao dos
controles detalhando as etapas na sequncia da pesquisa. Em seguida so demonstrados os benefcios da implantao
para a rea de TI. Aps o detalhamento das etapas de implantao da SOX e seus benefcios, demonstramos um estudo
de caso (seo 4) de uma implantao da conformidade SOX em uma empresa do Plo industrial de Manaus apontando
os resultados para corporao e a melhoria nos processos de responsabilidade da TI.
3. FUNDAMENTAO TERICA
3.1 A importncia da rea de TI mediante a conformidade SOX
Como no possvel separar processos de negcios e tecnologia no panorama corporativo atual, uma avaliao da infra-
estrutura operacional e pessoal de TI das empresas igualmente requerida. A Seo 404 do Ato Sarbanes-Oxley o
principal foco de ateno das empresas neste particular, por trazer as determinaes sobre os controles de processos
internos e sistemas contbeis da empresa.
A conformidade SOX est diretamente relacionada aos relatrios financeiros, e os relatrios financeiros esto
diretamente relacionados rea de TI das empresas. Isto evidenciado quando verificamos que os processos que
envolvem a emisso dos relatrios ocorrem por meio de sistemas de TI.
De acordo com Anand (2007) a eficincia na criao dos relatrios financeiros depende significamente dos controles de
TI. Quando os controles de TI esto funcionando com eficcia, isto ir colaborar com um menor risco de relatrios
fraudulentos e minimizar os erros antes de iniciar o ciclo.
Dentre as exigncias da conformidade SOX, a segurana deve ser adequada e evidenciada seguindo os critrios de
segurana abrangendo desde o acesso fsico aos servidores como acesso aos sistemas.
A garantida de que os dados esto sendo preservados e protegidos pode ser comprovada nos testes peridicos dos
controles, verificando o grau de segurana e eficcia dos procedimentos internos.
De acordo com Deloitte (2005), a importncia de salientar o Ato Sarbanes-Oxley requer mais do que a documentao
citada ou o estabelecimento de controles financeiros. Ao regular a atividade de contabilidade e auditoria das empresas
de capital aberto, a SOX reflete diretamente seus dispositivos nos sistemas de tecnologia da informao. 3.2 Segurana da Informao e SOX
Por fora do Ato Sarbanes-Oxley, temos a obrigatoriedade da observncia de prticas de segurana em sistemas e redes
e critrios rgidos para uso de aplicaes terceirizadas por companhias que se encontram ao alcance da lei. Invaso de
sistemas, ataques, vrus, acesso indevido a bancos de dados, fraudes de senhas e demais ameaas segurana da
informao de uma corporao podem, se no houver prova suficiente de adoo de medidas preventivas coordenadas
com os parmetros da seo 404, implicar em responsabilidade direta dos administradores, surgindo da possibilidades
concretas de sanes civis e penais.
Neste momento, dois pontos devem ser observados cuidadosamente no que se refere ao uso dos sistemas de informao
inserido no mbito do Ato Sarbanes-Oxley:
Segurana de sistemas de informao - A adequao do contedo da SOX deve ocorrer entre toda a cadeia de comunicao da empresa, principalmente nos recursos concernentes a informaes financeiras.
Controle de registros - Um arquivo de registros de procedimentos fundamental para a tranqilidade dos administradores. Estes registros devem ser tanto tangveis (em papel) ou intangveis (arquivos digitais e demais
mdias) e a redundncia em sistemas de backup altamente recomendada. No bojo da lei encontram-se
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
disposies que penalizam severamente a falsificao, destruio e perda de documentos e registros, bem como
prevem a observao de prazos para seu armazenamento aps o fechamento de cada exerccio fiscal.
3.3 reas do controle de TI
A conformidade Sarbanes-Oxley apresenta um impacto significativo sobre a estrutura de TI da maioria das empresas.
No entanto, um grande problema se apresenta: no existem especificaes sobre que controles tm de ser estabelecidos
dentro da estrutura de TI para a conformidade com a nova legislao. As reas em que o departamento de tecnologia da informao est vinculado devem abranger a monitorao das
transaes realizada no sistema e como estas informaes esto sendo armazenadas e protegidas.
Dentre estas reas podemos destacar:
Armazenamento das informaes geradas no operacional e financeiro
Gravao das transaes financeiras, organizacionais e sistemas de relatrios
Atividades executivas e administrativas Esta claro que as informaes coletadas na rea de TI que estiverem inacessveis ir comprometer severamente a
integridade dos relatrios financeiros de uma empresa. por esta razo que a rea de TI to importante na
implantao da conformidade SOX. Muitas empresas temem o custo para implantar estes controles e outras
simplesmente no sabem por onde comear. Dificultando este cenrio, a SOX no providencia informao a respeito da
natureza dos controles de TI a serem adotados na implantao da conformidade SOX.
3.4 Padres de procedimentos e controles internos
A conformidade Sarbanes-Oxley apresenta um impacto significativo sobre a estrutura de TI da maioria das empresas.
No entanto, um grande problema se apresenta: no existem especificaes sobre que controles tm de ser estabelecidos
dentro da estrutura de TI para a conformidade com a nova legislao.
A seo 404 da SOX determina uma avaliao anual dos controles e procedimentos internos para a emisso de
relatrios financeiros. Alm disso, o auditor independente da empresa deve emitir um relatrio distinto que ateste a
assero da administrao sobre a eficcia dos controles internos e dos procedimentos executados para a emisso dos
relatrios financeiros. A avaliao fornecida aos auditores independentes deve ser bem documentada e abrangente. Um
checklist resumido com essa finalidade inclui:
Informaes acerca do ambiente de controles gerais da empresa;
Descrio do processo adotado pela administrao para identificar, classificar e avaliar riscos que possam impedir que a empresa alcance seus objetivos de emisso de relatrios financeiros;
Descrio completa dos objetivos de controle criados pela administrao para direcionar os riscos identificados e as respectivas atividades de controle;
Descrio dos sistemas de informtica e procedimentos de comunicao adotados para fornecer suporte ao tpico anterior;
Resultados e documentao-suporte da avaliao mais recente feita pela administrao sobre a eficcia do desenho e das operaes das atividades individuais de controle;
Relao de todas as deficincias encontradas no desenho e na implementao das atividades de controle, bem como os procedimentos propostos para sua correo;
Descrio do processo adotado para comunicar deficincias significativas e insuficincias materiais aos auditores independentes e ao Comit de Auditoria;
Descrio dos procedimentos de monitoramento executados para assegurar que a estrutura de controles internos est operando conforme planejado e que os resultados dos procedimentos de monitoramento so revisados e
executados;
Descrio do processo de criao da divulgao e das atividades de controle relacionadas.
3.5 Adoo de padres de documentao e controle
Como no h meno especfica sobre o que a TI precisa fazer para atender a conformidade SOX, existe a possibilidade
de utilizar um dos vrios padres disponveis para definir e documentar os controles internos da empresa. Esta tarefa
tem sido facilitada pela adoo de ferramentas, indicadores e metodologias que auxiliam os profissionais no
dimensionamento e uso efetivo dos sistemas. Segundo a seo 404 da SOX, os aplicativos e correspondente infra-
estrutura que sustentam processos-chave, objetivos do controle e afirmaes relevantes relacionadas a contas e
divulgaes significativas nas demonstraes financeiras devem ser includos no escopo do processo de avaliao dos
controles internos da administrao. Considerando que os aplicativos de TI freqentemente suportam o incio, a
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
autorizao, o registro, o processamento e a divulgao de transaes financeiras, os controles de TI devem representar
uma parte integrante do controle interno sobre os relatrios financeiros.
Convm ressaltar que aplicativos de TI voltados ao usurio final, tais como planilhas eletrnicas e relatrios, podem
apresentar uma empresa com um conjunto exclusivo de necessidades de controles gerais de TI. Isso porque ao
disponibilizar para o usurio final tais tipos de ferramentas mais flexveis, aumenta o risco de erros nas demonstraes
financeiras derivados de dados incompletos ou incorretos.
Uma vez que o resultado proveniente desses aplicativos freqentemente toma o carter de documento oficial, no qual a
administrao ir confiar no processo de preparao dos seus relatrios financeiros, eles devero ter os seus controles
internos identificados e includos no processo de documentao e testes.
3.6 Relevantes componentes de TI para conformidade SOX
As empresas que esto implantando a conformidade SOX reconhecem que a rea de TI est diretamente envolvida neste
processo. As utilizaes dos softwares e dos processos a serem adotados contribuem para um melhor controle dos testes
e uma monitorao mais simples e eficiente dos requisitos.
Alguns critrios nos sistemas de TI e melhorias dos processos devem ser adotados na implantao da conformidade
SOX:
(i) Rapidez na emisso de relatrios: A SOX requisita que os investidores e outras reas envolvidas recebam
relatrios financeiros em tempo hbil. Este requerimento demanda que a rea de TI estabelea sistemas que iro
armazenar estes dados.
(ii) Controles internos: Um dos principais objetivos da SOX garantir que as empresas possam manter seguro a
integridade e acuracidade dos relatrios financeiros. Os controles devem ser monitorados e testados regularmente. Sem
uma tecnologia e um software adequados, os processos relacionados aos controles internos podem ser custosos e lentos
para a empresa. A rea de TI tambm responsvel por estabelecer sistemas que possibilite a alta gerencia envolvida, a
monitorao dos controles e informaes financeiras.
(iii) Gravao dos dados: A SOX exige que os documentos sejam mantidos durante sete anos, isto significa que a rea
de TI precisa garantir o backup destes dados.
3.7 Etapas no desenvolvimento do controle de acessos
Uma das mais importantes etapas na criao de controles de TI estabelece medidas de segurana no acesso dos dados
pelos membros da empresa.
Criao de uma lista de usurios que possuem acesso direto e contribuem na incluso de informaes. Esta etapa requer uma completa lista dos funcionrios da empresa que possuem privilgio para consultar, editar e
criar documentos financeiros
Estabelecer a hierarquia de segurana dos documentos acessados compreende identificar a lista de documentos sigilosos que devem ser acessados pelas reas relacionadas.
Limitar o acesso dos documentos para os funcionrios com perfil para acessar os mesmos.
Criar um nico repositrio dos documentos onde os usurios iro acessar com sua conta e senha, porm sero direcionados aos documentos ao qual o perfil do mesmo esta habilitado a acessar e modificar. Os documentos
ao qual o usurio no possuir este privilgio de gerenciar sero acessados com permisso somente de leitura.
1- Etapas no desenvolvimento do controle de acessos
Identificar todos os Usurios
Estabelecer nveis de
segurana para o acesso
Limitar acesso
aos usurios
envolvidos
Controle
de Acesso
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
3.8 Etapas para uma implantao de sucesso dos Controles de TI
As etapas para uma implementao efetiva dos controles de TI incluem:
Identificar os riscos: A primeira etapa na implementao dos controles identificar o alto-risco das reas envolvidas, ao qual podem influenciar nos documentos financeiros. Identificar os riscos pode demonstrar uma
vulnerabilidade nas transaes das informaes no qual os dados podem ser misturados e falsificados. Por fim,
a gerencia de TI deve evoluir os seus sistemas atuais, incluindo uma acuracidade de todos os documentos
relevantes.
Monitoramento: Os processos para auditoria devem ser desenvolvidos para a rea de TI. Testes devem ser criados para facilitar uma auditoria interna dos controles e sua eficcia. Esta auditoria interna dos controles de
TI deve ser conduzida pela diviso de TI da corporao e posteriormente os mesmos testes serem avaliados e
validades por uma auditoria externa.
Comunicao: Canais de comunicao devem ser estabelecidos para garantir que a gerencia de TI recebe as informaes em tempo hbil.
3.9 Estabelecendo Controle de Acesso: Desafios e Solues
Um dos grandes componentes dos controles de TI garantir que dados e informaes possam ser acessados e alterados
somente pelas pessoas apropriadas.
Referente ao controle de acesso para a empresa precisa:
Limitar o acesso aos documentos restritos, forando um acesso seguro com ingresso de informaes de usurio e senha
Minimizar os riscos associados com as senhas. Um acesso seguro efetivamente seguro se o sigilo no quebrado, ou seja, funcionrios que compartilham senhas ou definem senhas muito simples pode oferece risco
a segurana dos documentos.
Estabelecer segurana de acesso de acordo com o a rea e cargo de cada funcionrio. De acordo com nvel de acesso do usurio o mesmo no ter acesso, ou somente acesso de leitura ou privilgio de edio no
documento.
Monitorar e testar a eficincia dos controles. Estes testes devem ser monitorados para contribuir com a auditoria das atividades dos usurios, as datas dos acessos, a durao do acesso e quantos arquivos foram modificados.
3.10 Fluxo de trabalho
Segundo Lahti e Peterson (2006) a automao a chave para a demonstrao da conformidade e sua sustentao com o
tempo.
A figura 2 mostra as categorias de automao do fluxo de trabalho que se enquadram no escopo da conformidade SOX
e como esto relacionadas com as metas gerais de seus objetivos de conformidade.
Qualquer mudana pode e deve ser aplicada ao mesmo processo de automao, o que importante para a conformidade
SOX j que seus auditores estaro esperando a justificativa, aprovao e documentao de todas as mudanas em seu
ambiente que possam afetar seus sistemas financeiros e/ou a cadeia de relatrios.
Figura 2- Categorias de automao de fluxo de trabalho SOX
Disponibilidade
Segurana
Sustentabilidade
Responsabilidade
Suporte a
operaes
Controle de
acesso
Gerenciamento
da mudana
Gerenciamento
da conformidade
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
3.11 Benefcios da conformidade SOX na rea de TI
A implantao da conformidade SOX contribui diretamente para uma melhoria das transaes internas nos sistemas
otimizando processos e rastreabilidade dos dados.
Dentre estas melhorias podemos destacar:
- Os avanados controles reduzem os riscos de corrupo providenciando mais segurana aos bancos e estabelecendo
melhor segurana para as empresas e seus funcionrios protegendo tambm os investidores.
- Melhoria nos sistemas de TI de acordo com o crescimento da demanda e segurana das informaes contribuindo com
a eliminao de processos e aplicativos desnecessrios.
- Com o desenvolvimento e gerenciamento dos controles desenvolvidos pela rea de TI ocasionou uma melhor ateno
das organizaes para a rea motivando CEOs e CFOs a enxergarem o setor como uma diviso de extrema importncia
para a manuteno e integridade do negcio. Executivos hoje entendem que a diviso de TI vital para as empresas.
- Com as exigncias da conformidade SOX mediante aos controles dos documentos e reviso dos processos, a rea de
TI precisa interagir e estar alinhados com outros departamentos de uma empresa como recursos humanos e setor
financeiro garantindo a eficincia do cumprimento exigido na regulamentao da SOX.
- Preveno da perda de informaes reduz o risco de violao dos sistemas.
4. Anlise do estudo de Caso da Implantao da conformidade SOX no setor de TI em uma empresa do plo
industrial de Manaus
A Thomson Multimdia uma multinacional presente em vrios pases e fabrica na planta do Brasil produtos eletro-
eletrnicos dentre eles decodificadores, modems e receptores via satlite. Por ser uma empresa de grande porte, a
mesma atravs de uma deciso da corporao, impulsionada pela exigncia da Lei SOX, desenvolveu um plano de
implantao da conformidade SOX em todas suas unidades. A partir de 2007 a Thomson inicio a execuo do plano de
implantao da conformidade SOX na fbrica do Brasil.
Para implantar a conformidade SOX foi essencial analisar o cenrio documental da empresa e seus acessos, verificando
todas as variveis necessrias para atender as exigncias da conformidade, alinhando os documentos com os
departamentos envolvidos no fluxo dos dados da empresa.
Foi fundamental para o sucesso da implantao da conformidade que o departamento de TI estivesse sincronizado com
o departamento financeiro e de recursos humanos para que os controles pudessem ser devidamente atualizados de
acordo que forem ocorrendo s mudanas na documentao.
Dentre os fatores que precisaram ser relevados na observncia das exigncias da conformidade podem ser destacados:
Os recursos que sero necessrios adquirir para adequao na Central de Dados e na infraestrutura presente na empresa.
A reviso poltica de segurana da empresa focando os nveis de acesso e restrio dos dados.
Rastreamento e registro dos processos executados na empresa que envolva desde a criao de uma nova conta usurio a solicitaes de mudana no sistema.
Verificar se os dados esto sendo preservados e protegidos garantindo a recuperao dos mesmos em caso de perca ou modificao de informaes.
Revisar todas as contas dos usurios existentes, desabilitando o acesso de ex-funcionrios Durante a implantao da conformidade SOX foram identificados pontos fortes que contriburam para a viabilidade e
desenvolvimento das exigncias apontadas nas primeiras auditorias e tambm verificamos os pontos fracos que
provocaram certa resistncia e dificuldade na adequao dos procedimentos na implantao.
Dentre os pontos fortes podemos destacar:
O investimento disponibilizado pela empresa para compra de equipamentos e material que atendam aos critrios de segurana. Com este investimento a empresa pode investir mais em tecnologia e itens de segurana
proporcionando uma melhor qualidade no desempenho dos seus equipamentos e elevando o grau de segurana
dos mesmos.
Mobilizao das reas envolvidas com o SOX para reviso e desenvolvimento da documentao exigida. Esta mobilizao entre as reas contribui para que ocorra o cumprimento rigoroso dos procedimentos adotados
garantindo a confiabilidade dos dados e aumento na segurana dos mesmos.
Auditorias internas pela prpria corporao para verificar se os testes esto sendo feitos e os controles atualizados. Estas auditorias so importantes porque pode ser verificada a eficcia dos testes e se os mesmos
esto alinhados com os itens exigidos pelos auditores externos.
Dentre os pontos fracos identificamos:
Pouco conhecimento na Lei Sarbanes-Oxley ao qual prejudica em primeira instncia o desenvolvimento dos procedimentos exigidos e adequao dos controles existentes.
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
A adequao ao cumprimento dos novos procedimentos visto por alguns usurios como um caminho muito burocrtico para na solicitao de mudanas em seus procedimentos internos
Falha na segurana na infraestrutura acarreta um alto risco de perda das informaes de acesso restrito, prejudicando e expondo a empresa a possveis fraudes e sabotagens.
Para o inicio da implantao da conformidade SOX na empresa foi necessrio realizar um levantamento dos dados e
revisar toda documentao existente, as polticas e procedimentos adotados, infra-estrutura e segurana da informao.
Aps esta primeira reviso foram levantados todos os requisitos exigidos pela conformidade SOX e os documentos que
precisavam ser desenvolvidos e adequados para serem atualizados nos controles existentes no sistema adotado.
A corporao desenvolveu um sistema onde todos estes controles foram disponibilizados para ser atualizados com os
documentos e testes dos mesmos.
Para cada controle existe uma serie de itens que precisaram ser atualizados periodicamente de acordo com as mudanas
ocorridas no ambiente.
No que compete a TI, os controles foram divididos em Infraestrutura da Central de Dados e Servidores da Central de
Dados.
Tabela 1. Abaixo segue documentao exigida no controle de infraestrutura da central de dados:
Proteo fsica dos recursos de TI
Risco Controle Evoluo
1. Acesso de pessoas no autorizadas central de
dados
1.1. O controle de acesso a
central de dados deve ser
aplicado ao um ambiente
como proteo portas e
paredes sendo que o acesso
deve ser feito pelo pessoal
autorizado e a porta precisa ter
um dispositivo para fechar
automaticamente.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
1.2 Controle de acesso restrito
as todos os equipamentos
incluindo servidores,
computadores, switches,
roteadores e UPS que no
estejam localizados dentro do
ambiente da central de dados.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
2. Dano fsico aos equipamentos na central
de dados
2.1 Controle de ambiente: a
central de dados precisa estar
equipada de acordo com as
normas de segurana exigidas
incluindo detectores de
fumaa e gua, extintor de
incndio e no-breaks que
garantam a no falta de
energia.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
3. Normas de segurana no atendidas pela
central de dados
terceirizada
3.1 Os controles de TI devem
ser seguidos pela empresa que
terceiriza o servio.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
4. Os incidentes no so registrados e no so
corrigidos em um tempo
hbil
4.1 Controle de incidentes
para registrar os incidentes
que causem impactos nos
recursos de TI e afetam a
produtividade.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
Tabela 2. Abaixo segue documentao exigida no controle dos Servidores na Central de Dados:
Backup e Restaurao
Risco Controle Evoluo
1- Backup no realizado regularmente
1.1. Controle do registro dos
backups so mantidos e
gerenciados pelos
responsveis na TI.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
1.2 Controle de agendamento
do backup deve ser
desenvolvido de acordo com a
necessidade da empresa.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
1.3 Controle de acesso restrito
das pessoas responsveis pela
administrao da ferramenta
de backup na TI.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
2- Backups no podem ser restaurados
normalmente
2.1 Procedimento detalhado de
recuperao e teste do backup,
incluindo software e hardware.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
3- As mdias de backups no so
armazenadas em
lugar apropriado
3.1 As mdias de backup so
armazenadas em um local
seguro e com acesso restrito
somente a equipe de TI
responsvel.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
4- Acesso das contas de usurios
4.1 Reviso a cada 6 meses
das contas dos usurios com
acesso a rede a aos sistemas
incluindo conta com privilgio
de administrador.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
5- Sistemas com conta de acesso no
autenticado
5.1 As senhas das contas de
acesso administrativos padro
aos sistemas dever ser
mudados.
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
6- Mudana nos sistemas sem
autorizao.
6.1 Procedimento de mudana
deve ser registrado e a
execuo deve ser autorizado
pela organizao
- Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
- Documento desenvolvido e testado em
plena operao.
7- Atualizaes e modificaes no
testadas nos
sistemas
7.1 Todas as atualizaes e
alteraes devem ser testadas
antes de aplicar nos sistemas
da produo
Documento no desenvolvido
- Documento desenvolvido no necessrio
testar.
- Documento desenvolvido, mas no testado.
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
- Documento desenvolvido e testado em
plena operao.
Os resultados da implantao da conformidade SOX refletiram positivamente na corporao contribuindo em uma
maior acuracidade e segurana no acesso dos dados confidncias da empresa incluindo relatrios financeiros. Com os
procedimentos exigidos pela conformidade, as reas envolvidas esto mais sincronizadas a respeito das mudanas dos
documentos proporcionando que os controles estejam sempre atualizados.
Nas auditorias foi necessrio evidenciar que todos os procedimentos esto sendo cumpridos e os controles sendo
atualizados de acordo com a periodicidade determinada.
Aps a realizao da primeira auditoria interna da conformidade SOX foram detectados falhas de segurana nos
procedimentos demonstrando fragilidade nos processos existentes anteriormente na fbrica. Aps as correes e testes,
foram ajustados os documentos e procedimentos atendendo os critrios de segurana demonstrando mais estabilidade
para a corporao no cenrio financeiro.
A aplicabilidade dos mtodos a serem adotados em uma implantao da conformidade SOX pode ser revisada
observando os critrios apontados na auditoria externa e seguindo um esquema de adequao e criao de cada controle
e seus devidos testes, visando busca por uma padronizao desta metodologia favorecendo um melhor embasamento
terico para a aplicao e futura implantao da conformidade SOX em uma empresa. A orientao no desenvolvimento
de ferramentas que ofeream recursos para elaborar um plano de implantao, pode ser incorporada na metodologia
apresentada, contribuindo para uma viso mais detalhada dos controles e especificando os riscos e testes que sejam
relevantes em uma auditoria na corporao.
5. Concluses
Este artigo apresenta os conceitos e mtodos da implantao da conformidade SOX objetivando divulgar quais os
procedimentos a serem adotados para atender os requisitos da Lei nas empresas. Esta conformidade orienta as empresas
a proteger seus dados financeiros e informaes confidenciais restringindo os acessos somente as pessoas chaves da
corporao mantendo controles definidos e atualizados de acordo com as mudanas nos documentos.
Foi analisado um estudo de caso de uma empresa que executou a implantao da conformidade, destacando os critrios
exigidos e os procedimentos executados pela empresa revisando seus documentos e desenvolvendo novos para atender a
SOX. Para demonstrar na prtica esta implantao da conformidade SOX, relatamos aqui um caso de sucesso de uma
fbrica que seguiu as exigncias da Lei e quais procedimentos a mesma adotou na criao dos controles especficos
envolvendo a rea de TI.
Um resumo desta implantao mostrada a seguir:
Foi verificado o cenrio atual dos procedimentos e documentos da empresa Houve uma busca de investimento na infraestrutura que favorea a segurana exigida Foi revisada a poltica de segurana existente Foi revisado os acessos dos documentos Foi revisado todas as contas de usurios Foi identificado os pontos fortes e pontos fracos durante a implantao Foi criado um sistema de armazenamentos dos controles pela corporao e disponibilizada a planta do Brasil
para incluso de toda documentao exigida e devidos testes.
O cumprimento da Lei Sarbanes-Oxley pode ser uma tarefa difcil, mas com pesquisa e planejamento adequados ela
pode ser usada para corrigir deficincias adicionais na estrutura de TI das empresas adequando-as nova realidade que
se apresenta. A partir da promulgao do Ato Sarbanes-Oxley, o que era recomendvel passa a ser obrigao legal: uma
boa governana corporativa e a tica nos negcios das corporaes com presena no mercado financeiro de capital
aberto.
6. Agradecimento
Agradecemos a Universidade Gama Filho pelo apoio acadmico proporcionando para a elaborao deste trabalho e
especial a orientadora deste artigo a Prof.(a). Nvea Teles e a toda equipe que participou no desenvolvimento deste
trabalho.
7. Referencias Bibliogrficas
ANAND, S. Essentials of Sarbanes-Oxley , New Jersey, 2007.
BORGERTH, V. SOX Entendendo a Lei Sarbanes-Oxley, So Paulo, 2007
-
Artigo apresentado a Universidade Gama Filho MBA Gesto de TI Manaus - AM, Dia 02 de Dezembro de 2010
LAHTI, C; PETERSON, R. Sarbanes-Oxley Conformidade TI usando COBIT e ferramentas open source, Rio de
Janeiro, Ed. Alta Books, 2006
DELOITTE. Lei Sarbanes-Oxley: Guia para melhorar a governana corporativa atravs de eficazes controles
internos. Disponvel em http://deloitte.com.br>. Acesso em 08 out. 2005.
FAGUNDES, Eduardo Mayer. A lei Sarbanes-Oxley e seu impacto em TI. Artigo disponvel em:
. Acesso em: 08 set. 2006.