A lei Sarbanes-Oxley e seu impacto em TI

A Sarbanes-Oxley, ou simplesmente Sox, é uma lei criada nos Estados Unidos para aperfeiçoar os controles financeiros das empresas que possuem capital na Bolsa de Nova York, incluindo cerca de 70 empresas brasileiras. Esta lei veio em decorrência dos escândalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as economias pessoais de muitos americanos. A lei foi promulgada em 30 de julho de 2002 e prevê multas que variam de 1 milhão e 5 milhões de dólares e penas de reclusão entre 10 e 20 anos para os CEOs (Chief Executive Officer) e CFOs (Chief Finance Officer) das empresas. Estima-se que as empresas americanas gastarão entre 2 e 5 milhões de dólares para a adequação de seus controles internos a Sox.

Uma das premissas da Sox é que as empresas demonstrem eficiência na governança corporativa. Uma referência nessa área é o modelo de governança COSO (www.coso.org), criada em 1985 por iniciativa da National Comminsion on Fraudulent Financial Reporting para definir processos para o controle interno das empresas. O COSO define que o controle interno é um processo e deve ser exercido por todos os níveis da empresas. Os processos devem ser desenhados para atingir os seguintes objetivos: (1) efetividade e eficiência na operação; (2) dar confiabilidade nos relatórios financeiros; e, (3) atender as leis e regulamentações dos órgãos públicos.

Nesse contexto, a área de tecnologia da informação (TI) tem um papel importante, onde o próprio COSO faz um comentário especial. A área de TI deve cobrir todos os aspectos de segurança e controle das informações digitais da empresa, devendo desenhar processos de controle das aplicações para assegurar a confiabilidade do sistema operacional, a veracidade dos dados de saída e a proteção de equipamentos e arquivos. Para cumprir essas exigências os CIOs devem rever todos os processos internos cobrindo desde as metodologias de desenvolvimento de sistemas até as áreas de operações de computadores. Além disso, promover uma conscientização nas áreas usuárias de seus recursos sobre os aspectos de segurança e cuidados na manipulação das informações, tais como: e-mails, compartilhamento de diretórios nos PCs, compartilhamento de senhas de acesso aos aplicativos, etc. Estes aspectos de engenharia social também devem ser reforçadas para o pessoal de TI, que as vezes não conseguem determinar os riscos de segurança em suas soluções.

Para atender aos novos desafios da governança corporativa, as áreas de TI contam com alguns modelos de gestão que se aplicados asseguram a conformidade com as melhores práticas de processos e segurança da informação. Podem-se listar os seguintes modelos: (1) CobiT para a governança de TI; (2) ITIL para a gestão de serviços de TI; (3) DRI para a especificação e operação de planos de continuidade de negócios; (4) ISO 149977 (ou a BS-7799) para a gestão de segurança da informação; (5) CMM que define um modelo de gestão para o desenvolvimento de software.

Entendo que a adequação a esses padrões internacionais traga um custo extra às empresas, podem significar a perda de competitividade no mercado no curto prazo. Entretanto, no médio e longo prazo esses controles passarão a ser um diferencial positivo para atrair novos investimentos e segurança aos acionistas.