Home > Gestão

Processo contínuo – parte 3

Frameworks já existentes podem servir para Sarbox, mas não se aplicam 100%

Ben Worthen

01/11/2005 às 20h06

Foto:

Os CIOs terão que priorizar os controles a serem automatizados. Em muitos casos, este processo, infelizmente, vai levar anos. Mas cada controle automatizado (ou eliminado) significa menos trabalho para o CIO, o departamento de TI e até para estes #&%! auditores.
Quando os CIOs tiveram o primeiro contato com Sarbanes-Oxley Act há mais de dois anos, a maioria das empresas viu a lei como um problema de finanças, não de TI. No ano que se seguiu, a maior parte dos CIOs percebeu que a lei os afetaria, mas não sabia como. “No início de 2004, eu teria dito que seria algo inexpressivo, que não demandaria muito tempo de TI”, revela Schmidt.
Só quando as empresas começaram a fazer avaliações de risco financeiro a ficha caiu: na realidade, os sistemas de TI são vitais para garantir a exatidão dos dados financeiros. Mas, então, a primavera já havia chegado e os CIOs só tinham tempo para fazer o que seus auditores e consultores lhes tinham instruído a fazer para serem aprovados na auditoria.
Na maioria dos casos, os CIOs tinham sido orientados a instalar um framework de controle de TI. O Public Company Accounting Oversight Board (PCAOB), um grupo semi-governamental estabelecido pela legislação Sarbanes-Oxley para supervisionar o processo de auditoria, havia endossado o framework de controle COSO para auditoria financeira, mas não oferecia orientação similar para auditoria de TI.
Assim, os auditores se voltaram para frameworks de controle de TI preexistentes, como Cobit, ITIL, ISO ou mesmo à adaptação do próprio auditor para COSO. COSO e Cobit, com 20 e 10 anos de existência, respectivamente, são coleções de diretrizes e princípios de gestão para administrar uma empresa transparente, sendo Cobit específica para TI. ITIL, cada vez mais popular, e ISO são frameworks de gestão de TI que, recentemente, cruzaram o Atlântico vindos da Europa.
“Cobit é excelente do ponto de vista de gestão, mas não se aplica 100% a Sarbanes-Oxley”, diz Irving Tyler, CIO da Quaker Chemical, empresa de 400 milhões de dólares, ele mesmo um ex-auditor da Arthur Young & Co., atual Ernst & Young. “Lá há muitos bons conselhos e orientações que não deveriam fazer parte de uma auditoria para Sarbanes-Oxley.”

Página seguinte ( 4 )
Páginas anteriores ( 1 ) ( 2 )

Matérias relacionadas
Atitudes para o segundo ano de Sarbox
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail