Home > Gestão

Atitudes para o segundo ano de Sarbox

Recomendações neste período em que se pode gastar mais do que o devido, de novo

Ben Worthen

01/11/2005 às 20h11

Foto:

1. Diferencie os controles que importam dos que não importam.
Este ano, os CIOs precisam fazer com que os controles exigidos por Sarbanes-Oxley se tornem parte de suas operações de TI diárias. Isso vai demandar uma combinação entre automatizar alguns processos, monitorar eletronicamente outros e aplicar os processos manuais. Mas, antes de embarcar em projetos de automação ou treinamento, os CIOs precisam garantir que as medidas que estão tomando são realmente necessárias.
Para Dave Erickson, sócio da PWC, isso significa examinar os controles que implementaram no ano passado e perguntar a si mesmos de que forma uma violação de um controle específico pode produzir um erro de avaliação das finanças da empresa. Se a resposta envolve um ataque do hacker mais sofisticado do mundo ou a queda de um asteróide na sede da empresa, então não precisa fazer parte da auditoria, ensina.
Segundo Irving Tyler, CIO da Quaker Chemical (e ex-auditor), os CIOs têm que entender as exigências da Seção 404 e não devem presumir que todos os controles gerais para computador precisem ser incluídos.
“Houve muita discussão, mas conseguimos rejeitar muitos controles desnecessários”, revela. O auditor de Tyler, por exemplo, queria que a segurança do usuário na LAN corporativa fosse incorporada à auditoria, mas Tyler foi inflexível porque o importante era a segurança da aplicação, não a segurança da LAN.
“Temos um ERP de ocorrência única, baseado na Web”, diz. Em outras palavras, a melhor segurança do mundo para LAN não protegeria o sistema ERP contra alguém que o acessasse pela Internet. Tyler disse ao seu auditor que a demonstração financeira da Quaker só poderia ser afetada se alguém acessasse a aplicação. “A LAN não tem nada a ver com minhas finanças.”
Ao tirar muitos controles de TI gerais do escopo de Sarbanes-Oxley, Tyler teve mais tempo para focar nos controles que interessavam.
“Veja se existe uma ligação direta entre o que os auditores estão examinando e os relatórios financeiros”, orienta. “Dedique tempo a analisar isso agora. Se você não conseguir descobrir um vínculo, converse com o auditor.”
2. Automatize os Controles Críticos.
Só depois de reduzir o número de controles os CIOs devem começar a automatizar. Para fazer isso, há dois tipos de software. O primeiro é uma nova geração de software de gerenciamento de documento que “casa” os controles de uma empresa com a monitoração de workflow necessária para provar que os controles estão sendo observados.
No ano passado, a maioria dos CIOs utilizou antigos repositórios de documentos ou outras ferramentas que já possuíam. Robert Sell, vice-presidente e CIO da Eaton, mapeou os controles do seu departamento em uma planilha Excel, codificada nas cores vermelho, amarelo e verde para refletir o status de cada controle . Ele espera transferir esta informação para software específico para Sarbanes-Oxley mais robusto quando encontrar um pacote adequado fornecido por um grande fabricante.
O segundo tipo de software que os CIOs devem procurar em 2005 é uma ferramenta que automatize alguns dos controles mais complexos. Quase todo departamento de TI, por exemplo, teve problema para aplicar a segregação apropriada de tarefas em aplicações. As empresas, em geral, não se desincumbem muito bem de rastrear funcionários que saíram da organização ou que assumiram novas funções em outros departamentos. Sell diz que seu controle atual exige que os administradores de sistemas façam um relatório mostrando quais permissões os usuários têm dentro de um sistema, e outro relatório, extraído do sistema de RH, apontando quais permissões os usuários deveriam ter. Depois, os dois são comparados. “É um processo extremamente manual”, diz Sell..
Segundo Paul Hamerman, vice-presidente e analista da Forrester Research, no primeiro semestre de 2004 ainda não havia ampla disponibilidade de software para automatizar alguns destes controles mais complicados, mas agora já deve ser diferente. Outros analistas, porém, observam que ainda não encontraram uma aplicação que lide tanto com monitoração de workflow quanto com rastreio de permissão.

Páginas seguintes ( 2 ) ( 3 ) ( 4

Matérias relacionadas:

Processo contínuo
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail