Home > Gestão

Atitudes para o segundo ano de Sarbox – parte 2

Conselho de CIOs desenvolveu um guia de compliance para ajudar os colegas

Ben Worthen

01/11/2005 às 20h13

Foto:

Mesmo depois que cada controle possível estiver automatizado, os CIOs ainda terão que garantir que os funcionários estão seguindo os novos processos, que, em muitos casos, tornam as operações menos eficientes.
Um administrador de sistemas acostumado a fazer atualizações simples em aplicações, por exemplo, agora tem que obter aprovação de outra pessoa antes de colocá-las em produção. Aplicações de workflow podem garantir que a aprovação seja solicitada, obtida e documentada, mas tudo isso leva tempo. Howard Wright, vice-presidente sênior de governança de TI da Countrywide Financial, espera que as pessoas comecem a fazer solicitações mais cedo.
Na realidade, a Countrywide Financial criou uma organização de governança de TI projetada especificamente para ajudar os indivíduos a descobrir estes novos protocolos. Wright busca meios não só de aprimorar processos, como também de promover a conscientização em relação aos processos e fomentar a adequação a eles, mas admite que está apenas começando. Ele está concedendo prêmios a funcionários que sigam os novos protocolos adequadamente. “Você ficaria surpreso ao ver o que as pessoas fariam em troca de uma bela camisa de golfe.”
De qualquer modo, é um começo.
O CIO Executive Council, uma organização profissional de chief information officers, foi criado em 2004 para dar aos CIOs uma voz única sobre questões de tecnologia e negócio importantes, incluindo Sarbanes-Oxley e outras regulamentações.
Muitos CIOs continuam lutando com as demandas de recursos e as complexidades de adequar-se ao Sarbanes-Oxley de 2002. Para aliviar esta carga, membros deste conselho montaram uma força tarefa no ano passado e começaram a desenvolver um guia de recursos para ajudar os CIOs a navegar melhor por entre os problemas espinhosos da adequação. Desenvolvido em parceria com a Protiviti, o produto final — o CIO Executive Council's Sarbanes-Oxley Playbook — foi lançado em fins do primeiro semestre de 2005.
A seguir, um trecho do Playbook que enfoca as obrigações e oportunidades de um CIO no segundo ano da iniciativa de adequação.
“Quando uma organização conclui a certificação para o Primeiro Ano, precisa fazer uma transição importante para o Segundo Ano e além. No primeiro ano de certificação, recursos foram usados para identificar controles, determinar a eficácia do projeto e, por fim, validar a operação de controles através de teste. A maioria das organizações está acostumada com alguma forma de auditoria do ambiente de TI.
A auditoria para Sarbanes-Oxley requer que a organização de TI faça uma preparação significativa. No segundo Ano e depois, o gerenciamento pró-ativo dos riscos e controles pelo CIO permitirá uma abordagem mais focada e eficaz para adequação.
A maioria das empresas, à medida que se transporta para essa realidade, interessa-se por identificar maneiras de gerenciar melhor o processo de auditoria. Trata-se da transição de um projeto de adequação para um processo de adequação. As características deste processo incluem identificação de riscos contínua e consistente, reconhecimento das mudanças e esforço incessante para intensificar a maturidade do processo de TI. Cada uma destas características vai aprimorar a capacidade do CIO reduzir o impacto e o custo de Sarbox e ao mesmo melhorar a capacidade da organização manter a adequação.

Páginas seguintes3 ) ( 4
Página anterior ( 1 ) 

Matérias relacionadas:

Processo contínuo
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail