Home > Gestão

A vida depois da SOX

Terminado o prazo para adequação à lei Sarbanes-Oxley, a exigências da regra norte-americana continuam reverberando nas corporações

Cláudia Zucare Boscoli

17/04/2007 às 11h40

farol_verde_int.jpg
Foto:

Os fornecedores de soluções em TI não têm mesmo do que reclamar. Ano passado foi o deadline para as filiais americanas ou empresas brasileiras com ações nas bolsas dos Estados Unidos se adequarem à lei Sarbanes-Oxley, uma rigorosa resposta aos escândalos envolvendo grandes corporações como Enron e WorldCom. Terminada a maratona de adequações, testes, auditorias e certificações que começou em 2005, quem tinha de cumprir a norma já cumpriu. Mas um movimento pós-Sox começa a acontecer.
Agora, quem presta serviços às empresas regulamentadas também procura a ajuda de terceiros para estar adequado não apenas a uma lei com conseqüências jurídicas, mas a uma norma de mercado que pesa na competitividade. “As pequenas empresas que gravitam ao redor das submetidas à lei acabam forçadas a se enquadrar também”, confirma o analista da PricewaterhouseCoopers Edgard D’Andrea. Além disto, quem já se adequou precisa sustentar os avanços conquistados. Uma pesquisa da AMR Research revela que, este ano, os gastos com adaptações à Sox devem crescer 8,5% em relação a 2006, o que significa que, até dezembro, o mundo terá investido 29,9 bilhões de dólares nesta medida específica de compliance. “Como cidadão, acho isso ótimo, porque é um sinal de maturidade do mercado. Como possível investidor, também. E, claro, como prestador de serviços de consultoria e auditoria, o horizonte é excelente”, completa o analista.
É certo que a blindagem contra possíveis erros, fraudes e riscos não elimina 100% dos problemas, mas as ferramentas implementadas são capazes de rastreá-los e, conseqüentemente, inibi-los. Cada vez mais, cresce no mercado a percepção de que segurança da informação é um investimento e não uma despesa. “Tem gente que acha burocracia, mas tudo que é relacionado a risco e compliance vai continuar a ser prioridade para os executivos”, diz D’Andrea. O caso da venda da Ipiranga para o consórcio formado por Petrobras, Ultra e Braskem, por exemplo, tornou-se símbolo do avanço do País na capacidade de rastrear informações. Graças a isso, a Comissão de Valores Mobiliários (CVM) pôde identificar quais fundos de investimento e pessoas físicas obtiveram informações privilegiadas para comprar ações da empresa de petróleo na véspera de sua venda, quando o valor dos papéis subiu mais de 30%.

Tempo de manutenção
“Caímos de cabeça na Sarbanes-Oxley”, define o diretor de TI para a América do Sul da Ford, Edson Badan. De 2005 a 2006, a montadora passou por uma revisão completa para checar a conformidade dos processos com a lei. Depois, vieram os testes e as auditorias. No final do ano passado, estava tudo pronto e certificado. Agora, a mobilização é para não deixar a peteca cair. “Nosso desafio é manter o que foi feito, seja no que compete a controles internos, alinhamento com a matriz, reciclagem de pessoal ou avaliações de risco”, diz.
Na verdade, antes mesmo da promulgação da Sox, a Ford já seguia uma normatização própria para a TI mundial, compilada em seu ITPM (Information Technology Policy Manual) – um manual criado por uma equipe de profissionais de controle e política de segurança que é revisado pelo menos uma vez ao ano. “É a Bíblia da Ford”, diz Badan.
Eveli Moreno, gerente de TI para Canadá, México e América do Sul da companhia, é a representante brasileira no comitê do ITPM. “Avaliamos o que o mercado exige ou sugere. Por exemplo, como somos um grupo de TI que trabalha internamente e tem regras próprias de segurança, não somos cobrados a ter a ISO 27.001. Mas, se a central decidir adotar essa certificação, temos que seguir”, explica, citando que foi exatamente isso que ocorreu na promulgação da Sox, assim como na adoção da ISO 17.789 e dos frameworks Cobit e ITIL.

++++

Eveli lembra que, durante a adaptação à Sox, a Ford aproveitou para implantar, por conta própria, outras mudanças relevantes. “Nossos aplicativos passaram por uma avaliação de confidencialidade, integridade e disponibilidade”, diz. No primeiro quesito, o acesso às informações passou a ser limitado de acordo com a importância de cada documento – se público, privado ou secreto – e os funcionários foram orientados a trocar de senha periodicamente, sendo bloqueados de imediato ao mudar de departamento ou se desligar da empresa. A integridade significou testar todas as 150 aplicações para evitar que um pequeno gap resultasse em crise, serviço que consome oito meses de trabalho ao ano. “De março a novembro, fazemos questionários de 40 perguntas por aplicativo para cada analista e pedimos evidências das conclusões. O chefe olha, aprova, daí vem uma auditoria do comitê e outra externa”, explica Badan. Já a disponibilidade tornou possível o acesso mais fácil e rápido a documentos essenciais – como, por exemplo, a folha de pagamento estar à mão todo final de mês. “Desenhamos um calendário para o nosso banco de dados. Quais documentos são mais necessários em cada época do ano?”, exemplifica.
Também no vácuo da Sox, a montadora criou uma espécie de auto-auditoria. De tempos em tempos, um profissional de TI é deslocado para avaliar o desempenho da área. “Nesse período, ele ganha bagagem e autonomia, porque vê o outro lado do negócio, a necessidade de controle”, frisa Eveli. Ela também destaca a liberdade que, hoje, a empresa dá a qualquer funcionário de relatar uma não-conformidade com o ITPM.
Outra conquista importante foi o reconhecimento da relevância da TI com a documentação assinada de toda solicitação ou serviço entregue. “Aqui não tem mais a história do ‘não foi bem isso que eu te pedi’ ou ‘era para ontem’”, afirma Badan.

Atenção aos arquivos eletrônicos
A anglo-holandesa Shell, também submetida à Sox, consumiu dois anos em implantação de controles, testes e remediações. Pela frente, avista os mesmos desafios que a Ford. “Cada aplicativo pede um teste. É uma loucura porque são muitos e não dá para parar a empresa. Começamos em janeiro e provavelmente só vamos terminar em novembro”, calcula o gerente do programa de compliance da empresa, Leonardo Erlich, completando que “reza para não ter que usar soluções de recuperação de desastre”, mas precisa ter a certeza de que, quando precisar, todas funcionarão. “O desafio de 2007 é manter a conformidade buscando, na medida do possível, simplificar e melhorar os processos e controles internos”, aposta.
Erlich dedica especial atenção ao arquivamento de registros eletrônicos – tema contemplado por normas da Securities and Exchange Comission (SEC), espécie de Comissão de Valores Mobiliários americana, e pela New York Stock Exchange (Nyse), bolsa de valores, e por exigência da própria Receita Federal brasileira no que diz respeito a documentos fiscais. “É preciso colocar ordem nos documentos, saber quais são os tipos que existem e por quanto tempo eles devem ficar disponíveis”, explica. “Além disso, temos que saber como recuperar documentos descartados que, um dia, possam ser novamente solicitados”, diz. Ou seja: a saga da Sox continua.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail