A lei Sarbanes-Oxley é uma reação do governo americano aos escândalos de fraudes contábeis em grandes empresas como Enron e WorldCom. Em 30 de julho de 2002, após aprovação pelo Congresso, o presidente da República, George W. Bush, sancionou a nova lei. Essa regra é a mais importante mudança na legislação do mercado americano desde a criação das bases da lei atual, em 1933 e 34.

As Exigências da Lei são as seguintes: Proibição de empréstimos a conselheiros e diretores; certificação das informações financeiras e não-financeiras pelo presidente (CEO) e diretor financeiro (CFO); criação de um comitê de auditoria independente e a certificação do ambiente de controles internos; proibição da prestação de  determinados serviços por auditores; devolução de participação nos lucros ou bônus  pelo CEO ou CFO no caso de prejuízos decorrentes de erros contábeis; criação de novos tipos penais e aumento de penalidade para certos crimes; redução de prazos para divulgação dos relatórios anuais e adoção de práticas mais rígidas de governança, como adoção de um código de ética para os administradores; padrões de conduta e maior responsabilidade dos advogados.

Suas principais seções são: Seção 301 – Exige que todas as companhias de capital aberto tenham um Comitê de Auditoria. Seção 302 – Determina que dirigentes declarem pessoalmente que são responsáveis pelos controles / divulgação. Seção 404 – Determina uma atualização anual dos controles e procedimentos  internos. Uma Auditoria Independente deve emitir relatório distinto atestando a asserção da Administração. Seção 407 – Esclarece a inclusão do Especialista Financeiro no Comitê de Auditoria da organização. Seção 906 – Exige responsabilidade corporativa pelos relatórios financeiros.

Os Modelos e Ferramentas de Auxílio à Adequação

A Seção 404 determina que a administração deve avaliar os controles internos anualmente; deve definir e manter uma estrutura e procedimentos adequados de controle interno; para fins da elaboração e emissão de relatórios financeiros; que a administração deve avaliar a eficácia da estrutura e procedimentos de controle interno; e que o ambiente de controle interno deverá ser certificado por auditores independentes.

As condições para a certificação do controle interno são as seguintes: O COSO é modelo recomendado a ser empregado para a estruturação dos controles internos para a elaboração e emissão dos relatórios financeiros; deve haver uma comunicação sobre a estrutura de controles internos para a elaboração e emissão de relatórios financeiros; e os testes dos controles seguirão as normas e técnicas de auditoria geralmente aceitas (GAAS).  Entretanto, para os controles relevantes serão necessários níveis mais detalhados para a execução dos testes.

Para as atividades de TI que suportam e automatizam as atividades da empresa utiliza-se o CobiT que é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento;

As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI para ajudar na otimizar os investimentos de TI e fornecerem métricas para avaliação dos resultados.  O CobiT é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. O CobiT é projetado para auxiliar três audiências distintas: Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organização; usuários que precisam ter garantias de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados; auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno da organização. O CobiT está dividido em quatro domínios: Planejamento e organização;  aquisição e implementação; entrega e suporte; e monitoramento.

No gerenciamento dos processos utiliza-se o ITIL™ (Information Technology Infrastructure Library) que é o modelo de referência para gerenciamento de processos de TI mais aceito mundialmente.  A metodologia foi criada pela secretaria de comércio (Office of Government Commerce, OGC) do governo Inglês, a partir de pesquisas para desenvolver as melhores práticas para a gestão da área de TI nas empresas. O foco deste modelo é descrever os processos necessários para gerenciar a infraestrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados com os clientes internos e externos.

O Processo de Certificação

As certificações do COSO e do CobiT acontecem de acordo com os uma série de etapas. No caso do COSO são as seguintes:

Definição do ambiente de controle: Define o tom da organização – influencia a conscientização de seu pessoal a respeito de controles. Os fatores incluem integridade, valores éticos, competência, autoridade, responsabilidade. Ela é base para todos os outros componentes de controle;

Avaliação de Risco: É a identificação e análise de riscos relevantes para a obtenção dos objetivos da entidade formando a base para determinar atividades de controle;

Definição das atividades de Controle: Políticas / procedimentos que asseguram que sejam executadas as diretrizes da administração. Série de atividades inclusive aprovações, autorizações, verificações, recomendações, revisões de desempenho, proteção de ativos e segregação de tarefas;

Disponibilização de Informações e Comunicações: Informações pertinentes identificadas, resgatadas e comunicadas de forma oportuna. Acesso a informações geradas interna e externamente. Fluxo de informações que permite ações bem-sucedidas a respeito de controles, desde instruções sobre responsabilidades até resumo de averiguações para tomada de ação por parte da administração;

Realização do monitoramento: Avaliação do desempenho do sistema de controle ao longo do tempo. Combinação de uma avaliação contínua e separada: Atividades de administração e supervisão, e atividades de auditoria interna.

No caso do CobiT, as etapas são as seguintes:

Planejamento e Organização: Define o plano estratégico de TI; define a arquitetura da informação; determina a direção tecnológica; define a organização de TI e seus relacionamentos; gerencia os investimentos de TI; gerencia a comunicação de TI; gerencia os recursos humanos; assegura o alinhamento de TI com os requerimentos externos; avalia os riscos; gerencia os projetos; gerencia a qualidade;

Aquisição e implementação: Identifica as soluções de automação; adquire e mantém os softwares; adquire e mantém a infraestrutura tecnológica; desenvolve e mantém os procedimentos; instala e certifica softwares; gerencia as mudanças;

Entrega e suporte: Define e mantém os acordos de níveis de serviços (SLA); gerencia os serviços de terceiros; gerencia a performance e capacidade do ambiente; assegura a continuidade dos serviços; assegura a segurança dos serviços; identifica e aloca custos; treina os usuários; assiste e aconselha os usuários; gerencia a configuração; gerencia os problemas e incidentes; gerencia os dados; gerencia a infraestrutura; gerencia as operações;

Monitoração: Monitora os processos; analisa a adequação dos controles internos; provê auditorias independentes; provê segurança independente.

No caso do ITIL, ele se tornou a norma BS-15000, sendo esta um anexo da ISO 9000/2000, que segue os mesmos padrões e processos ISO 9000 de certificação.

Padrão de auditoria SAS70 para empresas prestadoras de serviços

Para as organizações que trabalham com prestação de serviços o padrão Statement on Auditing Standards (SAS) No. 70 de auditoria é internacionalmente reconhecido, desenvolvido pelo American Institute of Certified Public Accountants (AICPA). Ele é um guia confiável que permite aos prestadores de serviços revelar suas atividades de controle e processos aos seus clientes e auditores dos clientes em um reporte de formato padronizado. Um certificado SAS 70 significa que a organização prestadora de serviços teve seus objetivos e atividades de controle examinados por um auditor / contador independente, trazendo benefícios:

Para a organização prestadora: Vantagem competitiva na participação de concorrências em empresas que possuam certificação SOx ou estejam em processo de certificação; melhoria nos seus processos produtivos através do progresso das atividades de controle destes processos; redução das visitas de auditores dos clientes, evitando as interferências no processo produtivo da empresa prestadora, que geralmente comprometem os resultados previstos.

 Para a organização cliente: Recebimento de informações confiáveis dos controles da organização prestadora de serviços fornecedora, além da qualificação da efetividade / eficácia destes controles; redução de custos no processo de adequação à Lei Sarbanes-Oxley, pois não necessitará enviar auditores para verificar a parte dos processos que se encontra dentro do ambiente dos fornecedores.

Para saber mais sobre o tema visite o site da Quântica Treinamento Empresarial em http://www.quanticaconsultoria.com

Comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s