Home > Gestão

Processo contínuo – parte 4

Preferindo prevenir a remediar, muitos CIOs podem ter exagerado nos controles de TI

Ben Worthen

01/11/2005 às 20h09

Foto:

Os CIOs que basearam a adequação a Sarbanes-Oxley em frameworks como COBIT e ITIL deixaram de lado um elemento-chave da regulamentação: a interpretação inicial da Comissão de Valores Mobiliários e Câmbio (Securities and Exchange Commission – SEC) dos Estados Unidos para Sarbanes-Oxley exigia que os CIOs auditassem todos os seus controles internos, mas a versão final, liberada quase um ano depois, estreitou o foco aos controles que afetavam diretamente o relatório financeiro.
Mas quais controles afetavam o relatório financeiro e quais não afetavam? Não havia uma resposta simples.
“Veja o caso de uma porta aberta no firewall”, exemplifica Dave Erickson, sócio da PWC. “Se sua empresa não realiza muito comércio eletrônico, dificilmente há uma cadeia de eventos na qual esta porta aberta acabe afetando a demonstração financeira. Mas, se você é uma empresa tipo Amazon.com, pode ser um fator importante.”
Em vez de enfocar controles-chave que causariam um impacto óbvio sobre as finanças - por exemplo, quem tem acesso a qual informação, quem pode fazer mudanças em sistemas e aplicações -os CIOs gastam muito tempo estabelecendo controles gerais para TI, algo que é bom fazer, mas desnecessário em termos de Sarbanes-Oxley.
Entretanto, auditores e consultores internos, que são pagos para manter as empresas sem problemas, incentivam os CIOs a implantar controles extras. É melhor prevenir do que remediar, dizem.
“Os auditores não pareciam interessados em reduzir o escopo”, diz Tyler. “Um me perguntou sobre meu sistema de e-mail e eu pensei: o que diabos isso tem a ver com relatório financeiro?” Ao contrário de Tyler, porém, a maioria dos CIOs não possui background em auditoria e, portanto, não fazia objeções.
Para complicar as coisas, auditores externos, a maioria seguindo uma interpretação rígida das diretrizes de auditoria do PCAOB, concluíram que informar a um cliente que ele estava estabelecendo um controle que não era necessário para ser aprovado na auditoria comprometeria a independência do auditor e a legitimidade da auditoria. (Em abril de 2005, William McDonough, presidente do PCAOB, reconheceu isso e disse que não era intenção do PCAOB impedir os auditores de dizer aos seus clientes que eles estavam se excedendo.)
Por segurança, Barbara Schmit, CIO da Computer Network Technology, fabricante de hardware de 366 milhões de dólares, implantou 185 controles de TI no ano passado . “Sei que é demais”, admite. “Mas meus auditores não me disseram quais eram importantes. Tivemos que adivinhar.”
Moral da história: os CIOs exageraram, diz Erickson.
Em maio, o PCAOB divulgou uma orientação formal instruindo os auditores a ajudar seus clientes a determinar quais controles são desnecessários.
Antes tarde do que nunca.

Páginas anteriores ( 1 ) ( 2 ) ( 3 )

Matérias relacionadas:

Atitudes para o segundo ano de Sarbox
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail