Alexandre Luna, profile picture
Carregado porAlexandre Luna
2,798 visualizações

Sarbanes Oxley

O documento discute o impacto da lei Sarbanes-Oxley (SOX) para a segurança da informação. A lei SOX foi criada após grandes escândalos contábeis nos EUA no final dos anos 1990 para restaurar a credibilidade do mercado de capitais. A lei exige que empresas certifiquem relatórios financeiros e pode punir executivos por irregularidades. O documento analisa como a lei SOX afeta os controles internos de TI em termos de segurança da infraestrutura, controle de acesso e planos de contingência.

Incorporar apresentação

Baixado 140 vezes
Sarbanes-Oxley Impactos para a Segurança da Informação João Cosme José Wilson Rafael Neves
AGENDA • Histórico • A lei Sarbanes-Oxley • Análise inicial do SOX • PCABO e COSO • Processo de adequação ao SOX • Conclusão • Bibliografia
Histórico • No final da década de 90, o mercado norte- americano enfrenta uma forte crise. - Empresas como Enron, Tyco, HealthSouth e WorldCom entraram em processo de falência em decorrência dos graves escândos contábeis, gerando uma forte crise no mercado de capitais norte-americano. - Eron Corporation: Acusa de fraudar os balanços contábeis em conjunto com empresas de Auditoria. As perdas para os acionistas foram estimadas em 62,8 bilhões. - HealthSouth: Acusada de falsificação de informações financeiras e corrupção ativa por parte do CEO. - Tyco: CEO e CFO acusados de favorecimento irregular, corrupção ativa, falsificação contábil e furto de mais de 600 milhões
Histórico • Mercado de capitais perde a credibilidade. Todas as autoridades são unânimes na criação de uma nova legislação. A lei Sarbanes-Oxley. • Principal objetivo da lei Sarbanes-Oxley: - Recuperar a credibilidade do mercado de capitais e evitar a incidência de novos erros como os que contribuiram para a quebra de grandes empresas.
Sarbanes-Oxley • Transformada em lei em 30 de julho de 2002. • Estabelece que os CEO's e CFO's devem certificar a apresentação trimestral e anual de relatórios financeiros para a Securities and Exchange Commission (SEC). • Indícios de falsificação ou irregularidades podem resultar em penas legais , chegando até a prisão dos executivos responsáveis.
Análise inicial do SOX • A questão do controles internos - O SOX define o estabelecimento de vários pontos de controle nas operações das organizações. - Não existe uma precisão estabelecida de como esses controles internos devem ser implementados e que pontos críticos devem ser protegidos - Por outro lado, é exigido que uma empresa independente faça auditoria periódica dos controles internos estabelecidos
PCABO e COSO A seção 404 do SOX: • PCABO (PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD) - Órgão não governamental e independente sem finalidade de lucros. Constituído por membros de diversas atividades profissionais. Tem como principais funções interferir diretamente em práticas adotadas por auditores independentes. • COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TRADEWAY COMMISSION) - Trata-se de uma iniciativa privada de 5 grupos com o objetivo de auxiliar a alta direção da empresa para melhoria de controle internos. Criou-se o COSO Report.
PCABO e COSO • COSO Report - Define controles para as operações de negócio e processos relacionados aos relatórios financeiros. - Não faz nenhuma referência específica a controles em TI. • Aplicação do COSO Report em TI - O Controls Objectives for Information and Related Technologies (COBIT) possui desde o final de 2003 um apêndice relacionado ao seus controles como COSO Report. - Boas práticas também podem ser encontradas em: ISO17799, ITIL
Processo de adequação ao SOX • Componentes de controle específico do COSO Report : - Controle do ambiente - Análise de risco - Atividades de controle - Informação e comunicação - Monitoramento • Dentro de TI, esses componentes podem ser consolidadas em três aspectos: - Segurança de Infra-Estrutura - Controle de acesso - Plano de contingência
Processo de adequação ao SOX • Segurança de Infra-Estrutura - Devem ser implementados controles destinados a proteger a rede corporativa e todos seus componentes. - Esses controles devem ser extensivos aos parceiros de negócio da organização. - Deve ser dada atenção especial a relatórios de atividades e logs de equipamentos. - A política de segurança deve definir de forma clara as funções, responsabilidades e processos. - Exceções devem ser evitadas ao máximo, e caso ocorram devem ser devidamente documentadas.
Processo de adequação ao SOX • Controle de acesso - Deve ser aplicado de forma extensiva usando o princípio de menos privilégio, especialmente quando envolver dados financeiros. • Quatro tópicos devem ser especialmente analisados e trabalhados: - Concessão de acesso - Manutenção de contas - Término de acesso - Gerenciamento de senhas
Processo de adequação ao SOX • Plano de contingência - O objetivo é garantir a continuidade das informações financeiras e dos processos que as suportam evitando qualquer impacto na disponibilidade e integridade das mesmas. - Teoricamente basta garantir a continuidade da infra- estrutura de TI para os processos de negócio. - Na prática, o envolvimento de todas as áreas funcionais no escopo é fundamental.
Conclusão • O SOX é mais um padrão de controles para a Segurança da informação, que é perfeitamente permeável por padrões consagrados no mercado há décadas. • Se a organização tiver um processo de gerenciamento da segurança da informação, o impacto é mínimo. • O SOX tornar os princípios de uma boa governança corporativa em leis evitando assim o surgimento de novas fraudes na empresa.
Bibliografia • http://en.wikipedia.org/wiki/Sarbanes-Oxley •http://www.coso.org/publications/executive_summ ary_derivatives_usage.htm • A Lei Sarbanes-Oxley. Disponível em http://www.kpmg.com.br •http://www.itxl.com.br/v06/noticias_full.php?id_no ticia=0014 • http://www.boucinhasconti.com.br
OBRIGADO!

Mais conteúdo relacionado

PDF
[slides] Gestão de Riscos (2013: 1º semestre)
porAlessandro Almeida
 
PDF
Auditoria
porKarenn Paty
 
PPT
1 introducao auditoria
porBoechat79
 
PDF
Controles internos
porKarla Carioca
 
PPTX
Planejamento, Organização, Direção e Controle
porPROFIGESTÃO - Profissionais em Gestão de Empresas e Pessoas
 
PPTX
Administração - conceitos, origens e evolução
porLemos1960
 
PPTX
Ciclo pdca
porCarci
 
PDF
Apostila de Mercado Financeiro v 210
porCesar Ventura
 
[slides] Gestão de Riscos (2013: 1º semestre)
porAlessandro Almeida
 
Auditoria
porKarenn Paty
 
1 introducao auditoria
porBoechat79
 
Controles internos
porKarla Carioca
 
Planejamento, Organização, Direção e Controle
porPROFIGESTÃO - Profissionais em Gestão de Empresas e Pessoas
 
Administração - conceitos, origens e evolução
porLemos1960
 
Ciclo pdca
porCarci
 
Apostila de Mercado Financeiro v 210
porCesar Ventura
 

Mais procurados

PPT
Auditoria
porSuperprovas Software
 
PPTX
Matriz gut
porCarci
 
PPTX
Análise das Demonstrações Financeiras
porMilton Henrique do Couto Neto
 
PDF
Governança corporativa, Lei Sarbanes-Oxley e Controles Internos
porKarla Carioca
 
PDF
Auditoria Contábil
porDominus Auditoria
 
PDF
Apresentação ABNT NBR ISO 31000
porGuilherme Witte Cruz Machado
 
PPSX
Governança Corporativa
porEdmilson Palermo Soares
 
PPT
Sistemas de gestao integrados
porSERGIO DE MELLO QUEIROZ
 
PDF
Palestra sobre fluxo de caixa
porValini & Associates
 
PPT
Auditoria
porthais_danielle2004
 
PPT
Gestão por processos
porCoelho Assessoria
 
PPTX
CASP Contabilidade Aplicada ao Setor Público
porGustavo Mattar
 
PPT
Balanced Scorecard
porThiago Meira
 
PPTX
PDCA - Treinamento completo
porVinícius Toledo França de Nader
 
PPTX
Controle de produto não conforme
porYthia Karla
 
PDF
Aula 16 - 10. Planejamento da Auditoria de demonstrações contábeis
porSecretaria de Estado da Tributação do RN
 
PPT
Teoria geral da administração
porDenis Carlos Sodré
 
PDF
Roteiro auditoria SGA NBR ISO 14001:2015v1
porRoberto Emery-Trindade
 
DOC
Check list auditoria
porAna Paula Valente Da Silva
 
PPT
Competitividade
porCyrille Schneider
 
Auditoria
porSuperprovas Software
 
Matriz gut
porCarci
 
Análise das Demonstrações Financeiras
porMilton Henrique do Couto Neto
 
Governança corporativa, Lei Sarbanes-Oxley e Controles Internos
porKarla Carioca
 
Auditoria Contábil
porDominus Auditoria
 
Apresentação ABNT NBR ISO 31000
porGuilherme Witte Cruz Machado
 
Governança Corporativa
porEdmilson Palermo Soares
 
Sistemas de gestao integrados
porSERGIO DE MELLO QUEIROZ
 
Palestra sobre fluxo de caixa
porValini & Associates
 
Auditoria
porthais_danielle2004
 
Gestão por processos
porCoelho Assessoria
 
CASP Contabilidade Aplicada ao Setor Público
porGustavo Mattar
 
Balanced Scorecard
porThiago Meira
 
PDCA - Treinamento completo
porVinícius Toledo França de Nader
 
Controle de produto não conforme
porYthia Karla
 
Aula 16 - 10. Planejamento da Auditoria de demonstrações contábeis
porSecretaria de Estado da Tributação do RN
 
Teoria geral da administração
porDenis Carlos Sodré
 
Roteiro auditoria SGA NBR ISO 14001:2015v1
porRoberto Emery-Trindade
 
Check list auditoria
porAna Paula Valente Da Silva
 
Competitividade
porCyrille Schneider
 

Destaque

PPSX
5w2h
porCristina Alves
 
PDF
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
porTI Infnet
 
PPT
Aula 7 gestão de riscos
porDaniel Moura
 
PDF
5W2H
porNyedson Barbosa
 
PPTX
Um exemplo do meu uso dos Conceitos de Qualidade 5w2h
porJulíía Barbosa
 
PDF
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
porMarcus Vinícius
 
PDF
Coso Erm Executive Summary Portuguese
porLuiz Deoclecio Fiore, CRMA Certified
 
PPTX
Planilha 5 w 2h
porEdson Wagner Strasinski
 
PDF
Guia cma 100 perguntas sobre a lei anticorrupcao
porMinistério Público de Santa Catarina
 
PPTX
Webinar | Gerenciamento de Risco Corporativo segundo COSO®
porCompanyWeb
 
PDF
Curso COSO 2013 Marco Integrado de Control Interno actualizado 18.NOV.2013
porMiguel Aguilar
 
PDF
Apostila sistema operacional cor capa ficha 2011 02 04
porMatheusRpz
 
DOC
Projeto Sox
poredutaito
 
PDF
Gerenciamento Risco Pwc
porLuiz Deoclecio Fiore, CRMA Certified
 
PDF
Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
porVictor Tubino
 
PPT
Control Interno, Informe Coso
porUro Cacho
 
DOCX
Auditoria interna e o controle interno
porUniversidade Pedagogica
 
PPTX
Lei federal nº 12.846/2013
porMoacir O. Filho
 
PDF
Como aplicar o COSO para SOX e Controles Internos
porCompanyWeb
 
PPTX
Uma década da lei americana sarbanes oxley
porCarlos Ferreira
 
5w2h
porCristina Alves
 
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
porTI Infnet
 
Aula 7 gestão de riscos
porDaniel Moura
 
5W2H
porNyedson Barbosa
 
Um exemplo do meu uso dos Conceitos de Qualidade 5w2h
porJulíía Barbosa
 
Gerenciamento de Riscos na Cosern - Lei Sarbanes Oxley (SOX)
porMarcus Vinícius
 
Coso Erm Executive Summary Portuguese
porLuiz Deoclecio Fiore, CRMA Certified
 
Planilha 5 w 2h
porEdson Wagner Strasinski
 
Guia cma 100 perguntas sobre a lei anticorrupcao
porMinistério Público de Santa Catarina
 
Webinar | Gerenciamento de Risco Corporativo segundo COSO®
porCompanyWeb
 
Curso COSO 2013 Marco Integrado de Control Interno actualizado 18.NOV.2013
porMiguel Aguilar
 
Apostila sistema operacional cor capa ficha 2011 02 04
porMatheusRpz
 
Projeto Sox
poredutaito
 
Gerenciamento Risco Pwc
porLuiz Deoclecio Fiore, CRMA Certified
 
Impacto da Lei Sarbanes Oxley (SOX) nas ações da empresas brasileiras listada...
porVictor Tubino
 
Control Interno, Informe Coso
porUro Cacho
 
Auditoria interna e o controle interno
porUniversidade Pedagogica
 
Lei federal nº 12.846/2013
porMoacir O. Filho
 
Como aplicar o COSO para SOX e Controles Internos
porCompanyWeb
 
Uma década da lei americana sarbanes oxley
porCarlos Ferreira
 

Semelhante a Sarbanes Oxley

PPT
Projeto Sox
poredutaito
 
PDF
Information Security Training Based on ISO27001
porJairo Willian Pereira
 
PDF
Projeto Sox
poredutaito
 
PDF
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
porJeneffer Ferreira Ribeiro
 
PPT
Geitil Help Desk Sap 3
porjarlei
 
PPTX
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
porSQLServerRS
 
Projeto Sox
poredutaito
 
Information Security Training Based on ISO27001
porJairo Willian Pereira
 
Projeto Sox
poredutaito
 
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
porJeneffer Ferreira Ribeiro
 
Geitil Help Desk Sap 3
porjarlei
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
porSQLServerRS
 

Sarbanes Oxley

  • 1.
    Sarbanes-Oxley Impactos para aSegurança da Informação João Cosme José Wilson Rafael Neves
  • 2.
    AGENDA • Histórico • A lei Sarbanes-Oxley • Análise inicial do SOX • PCABO e COSO • Processo de adequação ao SOX • Conclusão • Bibliografia
  • 3.
    Histórico • No finalda década de 90, o mercado norte- americano enfrenta uma forte crise. - Empresas como Enron, Tyco, HealthSouth e WorldCom entraram em processo de falência em decorrência dos graves escândos contábeis, gerando uma forte crise no mercado de capitais norte-americano. - Eron Corporation: Acusa de fraudar os balanços contábeis em conjunto com empresas de Auditoria. As perdas para os acionistas foram estimadas em 62,8 bilhões. - HealthSouth: Acusada de falsificação de informações financeiras e corrupção ativa por parte do CEO. - Tyco: CEO e CFO acusados de favorecimento irregular, corrupção ativa, falsificação contábil e furto de mais de 600 milhões
  • 4.
    Histórico • Mercado decapitais perde a credibilidade. Todas as autoridades são unânimes na criação de uma nova legislação. A lei Sarbanes-Oxley. • Principal objetivo da lei Sarbanes-Oxley: - Recuperar a credibilidade do mercado de capitais e evitar a incidência de novos erros como os que contribuiram para a quebra de grandes empresas.
  • 5.
    Sarbanes-Oxley • Transformada emlei em 30 de julho de 2002. • Estabelece que os CEO's e CFO's devem certificar a apresentação trimestral e anual de relatórios financeiros para a Securities and Exchange Commission (SEC). • Indícios de falsificação ou irregularidades podem resultar em penas legais , chegando até a prisão dos executivos responsáveis.
  • 6.
    Análise inicial doSOX • A questão do controles internos - O SOX define o estabelecimento de vários pontos de controle nas operações das organizações. - Não existe uma precisão estabelecida de como esses controles internos devem ser implementados e que pontos críticos devem ser protegidos - Por outro lado, é exigido que uma empresa independente faça auditoria periódica dos controles internos estabelecidos
  • 7.
    PCABO e COSO Aseção 404 do SOX: • PCABO (PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD) - Órgão não governamental e independente sem finalidade de lucros. Constituído por membros de diversas atividades profissionais. Tem como principais funções interferir diretamente em práticas adotadas por auditores independentes. • COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TRADEWAY COMMISSION) - Trata-se de uma iniciativa privada de 5 grupos com o objetivo de auxiliar a alta direção da empresa para melhoria de controle internos. Criou-se o COSO Report.
  • 8.
    PCABO e COSO •COSO Report - Define controles para as operações de negócio e processos relacionados aos relatórios financeiros. - Não faz nenhuma referência específica a controles em TI. • Aplicação do COSO Report em TI - O Controls Objectives for Information and Related Technologies (COBIT) possui desde o final de 2003 um apêndice relacionado ao seus controles como COSO Report. - Boas práticas também podem ser encontradas em: ISO17799, ITIL
  • 9.
    Processo de adequaçãoao SOX • Componentes de controle específico do COSO Report : - Controle do ambiente - Análise de risco - Atividades de controle - Informação e comunicação - Monitoramento • Dentro de TI, esses componentes podem ser consolidadas em três aspectos: - Segurança de Infra-Estrutura - Controle de acesso - Plano de contingência
  • 10.
    Processo de adequaçãoao SOX • Segurança de Infra-Estrutura - Devem ser implementados controles destinados a proteger a rede corporativa e todos seus componentes. - Esses controles devem ser extensivos aos parceiros de negócio da organização. - Deve ser dada atenção especial a relatórios de atividades e logs de equipamentos. - A política de segurança deve definir de forma clara as funções, responsabilidades e processos. - Exceções devem ser evitadas ao máximo, e caso ocorram devem ser devidamente documentadas.
  • 11.
    Processo de adequaçãoao SOX • Controle de acesso - Deve ser aplicado de forma extensiva usando o princípio de menos privilégio, especialmente quando envolver dados financeiros. • Quatro tópicos devem ser especialmente analisados e trabalhados: - Concessão de acesso - Manutenção de contas - Término de acesso - Gerenciamento de senhas
  • 12.
    Processo de adequaçãoao SOX • Plano de contingência - O objetivo é garantir a continuidade das informações financeiras e dos processos que as suportam evitando qualquer impacto na disponibilidade e integridade das mesmas. - Teoricamente basta garantir a continuidade da infra- estrutura de TI para os processos de negócio. - Na prática, o envolvimento de todas as áreas funcionais no escopo é fundamental.
  • 13.
    Conclusão • O SOXé mais um padrão de controles para a Segurança da informação, que é perfeitamente permeável por padrões consagrados no mercado há décadas. • Se a organização tiver um processo de gerenciamento da segurança da informação, o impacto é mínimo. • O SOX tornar os princípios de uma boa governança corporativa em leis evitando assim o surgimento de novas fraudes na empresa.
  • 14.
    Bibliografia • http://en.wikipedia.org/wiki/Sarbanes-Oxley •http://www.coso.org/publications/executive_summ ary_derivatives_usage.htm •A Lei Sarbanes-Oxley. Disponível em http://www.kpmg.com.br •http://www.itxl.com.br/v06/noticias_full.php?id_no ticia=0014 • http://www.boucinhasconti.com.br
  • 15.