Home > Gestão

Processo contínuo

A menos que os CIOs façam diferente desta vez, Sarbanes-Oxley vai custar ainda mais caro e causar ainda mais problemas. Veja como evitar tudo isso - ou, pelo menos, amenizar os problemas

Ben Worthen

01/11/2005 às 20h00

Foto:

Cá entre nós, na primeira auditoria para Sarbanes-Oxley, ninguém sabia realmente o que estava fazendo. Nem os auditores, nem os consultores, nem você.
Para Al Schmidt, vice-presidente de TI da Arch Chemicals, fabricante de produtos químicos com faturamento de 1,2 bilhão de dólares, isso ficou dolorosamente óbvio durante uma reunião em setembro de 2004 na qual sua auditoria interna, a PricewaterhouseCoopers (PWC), e a auditoria externa, a KPMG, discutiram padrões de auditoria. (Sarbanes-Oxley dita que as empresas trabalhem com auditores internos e externos diferentes para evitar conflitos de interesses à la Enron)
Enquanto funcionários da Arch, cinco auditores da PWC e cinco auditores da KPMG permaneciam sentados em silêncio, líderes das empresas de auditoria se movimentavam de um lado para o outro durante cerca de 20 minutos debatendo as metodologias diferentes que estavam usando para analisar os controles internos da Arch em relação à Seção 404 de Sarbanes-Oxley.
“Digamos que era uma discussão erudita entre duas partes”, diz Schmidt. “Fiquei surpreso ao ver que estes detalhes não haviam sido resolvidos de antemão. Ou seja, as questões subjacentes à auditoria para Sarbanes-Oxley não estavam sólidas.”
Para Schmidt, também foi o início de um cabo-de-guerra constante com seus auditores, já que controle após controle tiveram de ser criados, ajustados ou esclarecidos. Às vezes, parecia-lhe que os auditores estavam criando as regras na hora. Como resultado, ele percebeu que só teve tempo para reagir, concentrando-se em ser aprovado na auditoria em vez de apresentar soluções a longo prazo para os pontos fracos que a auditoria expôs. Desde a hora em que os consultores da PWC concluíram a primeira análise dos controles de Schmidt, no final do outono, até o término da auditoria da KPMG, em meados de fevereiro, ele estima que dedicou metade de seu tempo à auditoria.
“Os auditores não paravam de trazer problemas. Começou a consumir mais tempo do que qualquer outra coisa que já vivenciei”, diz.
A experiência de Schmidt é típica. Os CIOs de empresas com ano fiscal encerrando entre 31 de novembro e 31 de dezembro passaram os últimos meses de 2004 e os primeiros meses de 2005 debruçados em tarefas que variam de desenvolver controles para restringir o acesso dos usuários a determinadas partes de determinados sistemas até tirar fotografias digitais do detector de fumaça em uma sala de servidores e mandar recibo de baterias, como aconteceu com Robert Sell, vice-presidente e CIO da Eaton, fabricante de 9,8 bilhões de dólares.
Em praticamente todos os casos, os controles que os CIOs implantaram eram manuais. A Forrester Research estima que menos de 1 mil empresas, nos Estados Unidos, compraram software baseado em Sarbanes-Oxley em 2004, e, segundo descobriu CIO-EUA, muitas das que compraram ainda não o instalaram. Não houve tempo. Refletindo sobre sua própria experiência com Sarbanes-Oxley, Ann Harten, vice-presidente sênior e CIO da Sirva, empresa de serviços de recolocação de 2,3 bilhões de dólares, simplesmente diz: “Temos que descobrir uma maneira de tornar isso menos doloroso”.

Páginas seguintes ( 2 ) ( 3 ) ( 4 )

Matérias relacionadas:

Atitudes para o segundo ano de Sarbox
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail