Home > Gestão

Atitudes para o segundo ano de Sarbox – parte 4

O CIO tem que estar atento às atividades e à estrutura de liderança de adequação a Sarbox da organização

Ben Worthen

01/11/2005 às 20h17

Foto:

É importante que atenção específica seja dada à implementação de novos sistemas de aplicação significativos. Isso inclui atualizações ou alterações expressivas da funcionalidade das aplicações. O impacto de Sarbox sobre estas implementações e atualizações é poder validar, através de documentação e teste, o impacto da aplicação sobre o projeto do controle e a eficácia do processo de negócio afetado.
No segundo ano e depois, o papel-chave do CIO será garantir a capacidade de a organização de TI viabilizar a operação e o crescimento do negócio e ao mesmo tempo proporcionar adequação ao requisito.
Com relação ao gerenciamento de mudança, as três áreas-chave de foco para o CIO são:
1) Testar controles e funcionalidade essenciais para garantir que os controles continuam intactos antes da implementação
2) Atualizar documentação da mudança – e em torno da mudança – para Sarbox
3) Expandir o teste do usuário para incluir o teste apropriado de controles manuais afetados pela mudança.
A interação da função de gerenciamento de programa com estas mudanças na aplicação e o compromisso do CIO de manter adequação a Sarbox vão garantir a disponibilidade de budget e tempo para executar estas atividades. Sem dúvida, TI tem que suportar e capacitar crescimento e aprimoramento do negócio ao mesmo tempo em que mantém a adequação.
É vital que os requisitos de adequação sejam abordados durante a implementação para reduzir o aumento potencial dos custos para executar estas atividades como parte do processo de auditoria de fim de ano.
Uma observação final sobre as mudanças no segundo ano: o CIO tem que ficar ligado nas atividades e na estrutura de liderança de adequação a Sarbox da organização. Isso inclui envolvimento contínuo em comitês diretores de divulgação e de Sarbox.
Existem muitos componentes deste requisito que vão muito além da documentação e do teste da Seção 404. A Seção 302 requer a divulgação externa de mudanças no ambiente de controle da empresa a cada trimestre. A integração do CIO nesta atividade e o diálogo aberto e a conscientização pró-ativa de controles e riscos no ambiente de TI são componentes vitais da adequação contínua.

Páginas anteriores ( 1 ) ( 2 ) ( 3

Matérias relacionadas:

Processo contínuo
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail