2. AGENDA
• Histórico
• A lei Sarbanes-Oxley
• Análise inicial do SOX
• PCABO e COSO
• Processo de adequação ao SOX
• Conclusão
• Bibliografia
3. Histórico
• No final da década de 90, o mercado norte-
americano enfrenta uma forte crise.
- Empresas como Enron, Tyco, HealthSouth e WorldCom entraram em
processo de falência em decorrência dos graves escândos contábeis,
gerando uma forte crise no mercado de capitais norte-americano.
- Eron Corporation: Acusa de fraudar os balanços contábeis em
conjunto com empresas de Auditoria. As perdas para os acionistas foram
estimadas em 62,8 bilhões.
- HealthSouth: Acusada de falsificação de informações financeiras e
corrupção ativa por parte do CEO.
- Tyco: CEO e CFO acusados de favorecimento irregular, corrupção
ativa, falsificação contábil e furto de mais de 600 milhões
4. Histórico
• Mercado de capitais perde a credibilidade. Todas
as autoridades são unânimes na criação de uma
nova legislação. A lei Sarbanes-Oxley.
• Principal objetivo da lei Sarbanes-Oxley:
- Recuperar a credibilidade do mercado de capitais e evitar a
incidência de novos erros como os que contribuiram para a quebra de
grandes empresas.
5. Sarbanes-Oxley
• Transformada em lei em 30 de julho de 2002.
• Estabelece que os CEO's e CFO's devem
certificar a apresentação trimestral e anual de
relatórios financeiros para a Securities and
Exchange Commission (SEC).
• Indícios de falsificação ou irregularidades podem
resultar em penas legais , chegando até a prisão
dos executivos responsáveis.
6. Análise inicial do SOX
• A questão do controles internos
- O SOX define o estabelecimento de vários pontos de
controle nas operações das organizações.
- Não existe uma precisão estabelecida de como esses
controles internos devem ser implementados e que pontos
críticos devem ser protegidos
- Por outro lado, é exigido que uma empresa independente
faça auditoria periódica dos controles internos estabelecidos
7. PCABO e COSO
A seção 404 do SOX:
• PCABO (PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD)
- Órgão não governamental e independente sem finalidade
de lucros. Constituído por membros de diversas atividades
profissionais. Tem como principais funções interferir
diretamente em práticas adotadas por auditores
independentes.
• COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TRADEWAY COMMISSION)
- Trata-se de uma iniciativa privada de 5 grupos com o objetivo
de auxiliar a alta direção da empresa para melhoria de controle
internos. Criou-se o COSO Report.
8. PCABO e COSO
• COSO Report
- Define controles para as operações de negócio e
processos relacionados aos relatórios financeiros.
- Não faz nenhuma referência específica a controles em TI.
• Aplicação do COSO Report em TI
- O Controls Objectives for Information and Related
Technologies (COBIT) possui desde o final de 2003 um
apêndice relacionado ao seus controles como COSO Report.
- Boas práticas também podem ser encontradas em:
ISO17799, ITIL
9. Processo de adequação ao
SOX
• Componentes de controle específico do COSO
Report :
- Controle do ambiente
- Análise de risco
- Atividades de controle
- Informação e comunicação
- Monitoramento
• Dentro de TI, esses componentes podem ser
consolidadas em três aspectos:
- Segurança de Infra-Estrutura
- Controle de acesso
- Plano de contingência
10. Processo de adequação ao
SOX
• Segurança de Infra-Estrutura
- Devem ser implementados controles destinados a proteger
a rede corporativa e todos seus componentes.
- Esses controles devem ser extensivos aos parceiros de
negócio da organização.
- Deve ser dada atenção especial a relatórios de atividades e
logs de equipamentos.
- A política de segurança deve definir de forma clara as
funções, responsabilidades e processos.
- Exceções devem ser evitadas ao máximo, e caso ocorram
devem ser devidamente documentadas.
11. Processo de adequação ao
SOX
• Controle de acesso
- Deve ser aplicado de forma extensiva usando o princípio de
menos privilégio, especialmente quando envolver dados
financeiros.
• Quatro tópicos devem ser especialmente
analisados e trabalhados:
- Concessão de acesso
- Manutenção de contas
- Término de acesso
- Gerenciamento de senhas
12. Processo de adequação ao
SOX
• Plano de contingência
- O objetivo é garantir a continuidade das informações
financeiras e dos processos que as suportam evitando
qualquer impacto na disponibilidade e integridade das
mesmas.
- Teoricamente basta garantir a continuidade da infra-
estrutura de TI para os processos de negócio.
- Na prática, o envolvimento de todas as áreas funcionais no
escopo é fundamental.
13. Conclusão
• O SOX é mais um padrão de controles para a
Segurança da informação, que é perfeitamente
permeável por padrões consagrados no mercado há
décadas.
• Se a organização tiver um processo de gerenciamento
da segurança da informação, o impacto é mínimo.
• O SOX tornar os princípios de uma boa governança
corporativa em leis evitando assim o surgimento de
novas fraudes na empresa.