O documento discute a importância da Lei Sarbanes-Oxley (SOX) para a empresa Amazonas Energia e seu departamento de TI. A empresa está implementando controles internos para estar em conformidade com a SOX até 2011, incluindo a designação de responsáveis, capacitação, desenvolvimento de projeto de implantação e auditorias internas e externas.
Introdução a Governanca corporativa e Controles Internos nas Pequenas e Méid...
Projeto Sox
1. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Governança de TI
.
Professor:
Fredson Andrade
Aluno:
Eduardo Cardoso Pinheiro
Thalyson Gonzáles
Aguinaldo Neto
Isaac Cohen
1
2. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Introdução
Introdução à Sarbanes-Oxley (SOX)
A Sarbanes-Oxley é uma lei dos EUA assinada em 30 de julho de 2002. Foi proposta pelo
senador Paul Sarbanes e pelo deputado Michael Oxley, por isto é também conhecida como lei
SOX.
Motivada por escândalos financeiros coorporativos (dentre eles o da Enron, que acabou por
afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo
de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela
aparente insegurança a respeito da governança adequada das empresas.
O conjunto de requisitos desta lei busca garantir a criação de mecanismos de auditoria e
segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês e comissões
encarregados de supervisionar suas atividades e operações de modo a mitigar riscos aos negócios,
evitar a ocorrência de fraudes ou ter meios de identificar quando elas ocorrem, garantindo a
transparência na gestão das empresas.
A SOX é uma lei é voltada principalmente para companhias de capital aberto com ações
nas bolsas de valores ou com negociação na Nasdaq. Muitas de suas regulamentações dizem
respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros
produzidos e pelo gerenciamento e avaliação dos controles internos.
Profissionais de TI de empresas que devem cumprir e se alinhar à SOX precisam conhecer
mais sobre esta lei e como a área da Tecnologia da Informação deve se adaptar aos controles
internos.
2
3. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Eletro Manaus – TI (Projeto Sox)
Importância da segurança da informação para a empresa Amazonas Energia.
No atual ambiente globalizado de negócios, crescimentos e risco estão mais interligados do
que nunca; assim, não surpreende que as melhores oportunidades venham acompanhadas dos
maiores riscos.
Na prática, o sucesso de estratégias globais jamais foi tão dependente de um gerenciamento
de risco eficaz. Além disso, pequenas e médias empresas têm hoje as mesmas oportunidades de
participar de negócios globais que grandes organizações, uma vez que o comercio eletrônico
permite uma concorrência mais uniforme.
Também é preciso levar em consideração que as empresas que se expandem para novos
mercados e instalam operações em economias em rápido desenvolvimento enfrentam riscos de
negócios, exponencialmente maiores, incluindo riscos relacionados a informações vitais da
empresa e dados sobre clientes.
A grande oportunidade de hoje pode se transformar rapidamente no pesadelo de amanhã,
principalmente se isso envolver a perda ou a deterioração de informações da companhia, o roubo
de segredos de negócio, a exposição de informações sobre clientes ou a invasão de sistemas.
Felizmente, muitas empresas são bem sucedidas em reduzir esses riscos fortalecendo, para tanto, a
segurança das informações.
Nos últimos anos, houve investimentos significativos em segurança da informação,
incluindo investimento em:
Pessoas – mais executivos nas funções centralizadas e descentralizadas de Segurança da
Informação.
Processos – mais procedimentos formais, documentados e certificados; e
Tecnologia – mais hardware e software para controle de acesso, detecção de invasão e
proteção contra vírus.
Maior envolvimento da diretoria.
Atualmente, a segurança da informação ocupa uma posição de maior destaque na agenda
das empresas e nas preocupações dos conselhos de administração, uma vez que a mídia tem
divulgado a freqüência e a seriedade dos incidentes relacionados à segurança da informação.
Maturidade das lideranças.
A segurança da informação está amadurecendo na sua capacitação geral e em relação ao
seu impacto sobre o cumprimento regulatório e sobre a reputação das empresas.
Melhoria continua
Ao olhar para o futuro, notamos que a importância das informações para as empresas tende
a crescer. Os regulamentos sobre dados financeiros, proteção de privacidade e confidencialidade
serão mais detalhados.
3
4. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Além disso, empresas de todo o mundo continuarão a fortalecer seus sistemas, uma vez que
agora que conhecem melhor os riscos e os impactos para o negócio. Paralelamente, organizações
precisarão fortalecer sua infra-estrutura de trabalho para que tenham condições de atingir suas
metas.
Projeto SOX
EletroEnergia e a Lei Sarbanes Oxley
A EletroEnergia para lançamento de títulos no mercado financeiro dos Estados Unidos
precisa estar aderente às obrigações impostas pela seção 404 da Lei Sarbanes Oxley (SOX).
A EletroEnergia somente obterá a certificação de aderência à lei SOX, se as empresas
significativas sob seu controle também estiverem em conformidade.
A lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente
responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios
financeiros e divulgações.
Controle
São políticas, procedimentos, práticas ou estruturas desenhadas de forma a prover uma
garantia razoável de que os objetivos de negócio serão atingidos e que eventos indesejáveis serão
prevenidos ou detectados e corrigidos.
Participação de TI em SOX
É de plena ciência que a TI possui um papel significativo no processo SOX, pois as
informações contábil-financeiras dependem de infra-estrutura e sistemas.
Cenário de Integração: SOX e TI
Diante de tamanha insegurança financeiro-contábil, foi promulgado, em 2002, o ato
constitucional de implantação da SOX, onde grande parte da discussão sobre a lei concentra-se nas
seções 302 (área contábil e financeira) e 404 (contendo pautas que envolvem a participação da área
de TI na implantação da SOX).
Com esta lei, surgia a garantia da transparência e legitimidade. Com isto, as organizações
americanas tiveram que correr contra o tempo ao cumprimento desta transparência empresarial e
cumprir os prazos na prestação de contas assim exigidas. Com a SOX muitas adaptações e/ou
alterações ocorrem, mas saliento que, de quebra a melhoria vem na carona. Aqui cito alguns itens:
• Permitiu explorar ou melhorar, de forma acentuada, os recursos oferecidos pelos
ERPs, uma vez que surgem novas exigências de demonstrações financeiras;
• Eliminação de processos redundantes;
• Auxílio na identificação dos pontos fracos dos controles internos, a fim de prover a
solução, ou seja, aumento na supervisão e monitoramento dos controles;
• Criação, atuação e independência do comitê/conselho.
• Aumento quanto ao nível de responsabilidade e comprometimento por parte do
gestor. A função do administrador torna-se uma atividade de maior
4
5. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
responsabilidade, uma vez que, diante da SOX, tais profissionais são
responsabilizados pelos resultados apresentados pelas áreas (contábil e financeira)
da companhia.
Enfim, perceba que a governança está diretamente ligada ao crescimento, à evolução, às
melhores práticas e que, diante da aplicação da SOX, fica estabelecida a credibilidade e a
transparência nos processos contábeis e demonstrativos financeiros.
O que já foi implantado na empresa no quesito segurança TIGC.
Projeto SOX TIGC – Controle Gerais de Tecnologia.
Segurança no Ambiente Geral do Físico CPD
Documentação das Rotinas e procedimentos dos Sistemas Corporativos.
Criação do Comitê para deliberação de política de segurança da informação da Mesa
Controle de acesso em nível de usuário até o maior nível de poder Administrador
Administração de usuários - Rede
Administração de usuários - Banco de Dados
Administração de usuários - SIG
Administração de usuários - Ajuri
Gerencia de Configuração - Banco de dados
Gerencia de Configuração – SIG
Gerencia de Configuração – Ajuri
Gerencia de Configuração de Segurança de Redes
Gerencia de Segurança de Redes
Gerencia de Configuração de Sistemas Operacionais
Gerencia de Configuração – Inventario de HW e SW
Gerencia de Configuração de Antivírus
Batch Interface
Administração e Controle de Backup e Restore – SIG/Ajuri
Gerenciamento de Log de Sistema
Mudança de Controle – SIG
Mudança de Controle – Ajuri
Implementações em andamento
Aprovação de Instrução Normativa serie informática
Adquirir software e Hardware para ampliação dos ambientes SIG e Ajuri.
Treinamento de colaboradores para manutenção preventiva e corretivas no-breaks.
Criação de um cadastro com informações do RH para o AIN, para revogação de acessos à
rede e os aplicativos.
Inventário de Hardware e Software.
5
6. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Objetivo da Área de Controle SOX
Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da
Informação;
Assegurar que os procedimentos de segurança da informação suportam os requisitos de
negócio;
Identificar e endereçar requisitos legais e regulatórios e obrigações de segurança
contratuais;
Manter a segurança adequada pela aplicação correta de todos os controles implementados.
Conduzir revisões quando necessário, e reagir adequadamente aos resultados destas
revisões; e onde exigido, melhorar a efetividade da Segurança da Informação.
6
7. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Planejamento Estratégico
Meta: A empresa Eletro Manaus tem que está de acordo com as normas exigidas pela Lei do Sox
ate no ano de 2011.
Ações:
1º Primeiramente será determinado quais pessoas que serão responsáveis pelo desenvolvimento do
projeto e aplicação.
2º Com as pessoas selecionadas será feita a capacitação delas, para a Lei do Sox.
3º Será desenvolvido um Projeto de Implantação do Sox na área de TI
4º Normas do Sox serão implementas na TI
5º Depois do processo de implantação, a auditoria interna da empresa ira verificar se está tudo de
acordo com a norma..
6º Se o resultado for negativo, a empresa terá mais uma chance para mitigar os erros e risco
7º Será feito novamente a auditoria
8º Com o resultado positivo, uma auditoria externa irá verificar as normas do sox na empresa.
9º Se o resultado for positivo, a empresa recebera um certificado por estar de acordo com todas as
normas exigidas pelo Sox.
7
8. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Conclusão
A empresa Amazonas Energia esta em fase de implementação, para que, futuramente seja
feita uma avaliação pela auditoria interna na empresa. A empresa terá direito de fazer um teste e
um reteste para saber se ela estar apta a ser avaliada por um auditoria externa, da qual o resultado
sendo positivo, ela estará dentro das leis do SOX e automaticamente recebera o certificado de que
a empresa está dentro dos requisitos do SOX.
8
9. CENTRO DE ENSINO SUPERIOR FUCAPI - CESF
CURSO DE PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Bibliografia:
http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley
http://www.tiexames.com.br/curso_SOX.php
http://www.sarbanes-oxley.com/
9