Foi nos Estados Unidos, em 2002, que surgiu o ato da legisla¸c˜ao federal deno- minado The U.S. Public Company Accounting Reform and Investor Protection, mais conhecido como Sarbanes-Oxley Act, sua principal base ´e o esfor¸co para me- lhoria do gerenciamento corporativo e da qualidade da auditoria, que faz parte da Governan¸ca corporativa.
Nesta lei, foram criados parˆametros para um maior controle das companhias de capital aberto e suas subsidi´arias em que suas a¸c˜oes s˜ao negociadas nas Bolsas de New York e Nasdaq, que porventura inclu´ıram diversas empresas estrangeiras que negociam pap´eis e valores nos Estados Unidos. A partir do momento em que a lei foi promulgada, o que era apenas uma recomenda¸c˜ao passou a ser obriga¸c˜ao, exigindo uma boa Governan¸ca e maior ´etica nos neg´ocios de empresas com par- ticipa¸c˜ao no mercado imobili´ario, buscando reparar devido `a perda da confian¸ca p´ublica nos governantes empresariais norte-americanos e enfatizando uma maior clareza nas informa¸c˜oes prestadas aos investidores americanos, procurando utili- zar padr˜oes ´eticos na divulga¸c˜ao dessas informa¸c˜oes.
A Sarbanes-Oxley cont´em 11 t´ıtulos e possui 1.107 se¸c˜oes, procurando imputar responsabilidades aos diretores de corpora¸c˜oes, que podem ser de pagamento de multas, podendo chegar a alguns milh˜oes de d´olares e `a condena¸c˜ao de pris˜ao em regime fechado, bem como puni¸c˜ao aos auditores que legitimarem os balan¸cos das
empresas de forma fraudulenta.
Ao controlar as atividades de auditoria e contabilidade das empresas de capital aberto, acaba por afetar diretamente em seus dispositivos nos sistemas de tecno- logia da informa¸c˜ao, possibilitando separar os processos de neg´ocios e a tecnologia no ambiente empresarial.
Na se¸c˜ao 404 s˜ao tratados os processos de tecnologia que trazem os man- damentos sobre os controles necess´arios para os processos internos e seus siste- mas cont´abeis, determinando uma avalia¸c˜ao anual desses processos e obrigando a cria¸c˜ao de relat´orios financeiros a serem encaminhados aos ´org˜aos fiscalizadores, que dever˜ao confirmar ou n˜ao as informa¸c˜oes desse relat´orio.
O relat´orio ´e um item muito importante a ser abordado, deve ser claro e direto, existindo alguns itens obrigat´orios:
• Confirma¸c˜ao de responsabilidades dos gestores da empresa;
• Informa¸c˜oes sobre a manuten¸c˜ao da base dos controles internos e outros procedimentos;
• Avalia¸c˜ao sobre o acordo de cumprimento de metas, ao final de cada exerc´ıcio cont´abil;
• Verifica¸c˜ao da eficiˆencia dos procedimentos internos para emiss˜ao dos re- lat´orios;
• Declara¸c˜ao de um auditor independente atestando sobre a avalia¸c˜ao dos procedimentos elaborada pelos gestores.
O ato Sarbanes-Oxley obriga a se utilizar de pr´aticas de seguran¸ca de redes e m´etodos r´ıgidos para um maior controle e conhecimento de infra-estrutura que tem alcance da lei, deve-se ter controles para diversas situa¸c˜oes como:
• Invas˜oes em sistemas por hackers;
• Ataques de nega¸c˜ao de servi¸co ou contra a infra-estrutura de rede; • Roubo de informa¸c˜oes;
• Fraudes internas e externas;
• Comprometimento de senhas v´alidas;
• Outros tipos de amea¸ca relacionadas `a seguran¸ca da informa¸c˜ao que possam vir a afetar o neg´ocio da empresa.
Para a ´area de TI, o SOX acaba por afetar e interferir em toda a cadeia da informa¸c˜ao e comunica¸c˜ao da empresa. Alguns recursos no entanto devem ter um impacto maior, que ´e o caso dos sistemas financeiros e cont´abeis, sistemas de relacionamento, gerenciamento de log´ıstica e um conjunto de sistemas de comu- nica¸c˜ao e armazenamento das informa¸c˜oes. Esses sistemas devem estar de acordo com o que ´e requerido pela SOX.
O administrador de TI deve ter uma grande aten¸c˜ao aos recursos tecnol´ogicos quanto da utiliza¸c˜ao pelos funcion´arios e de suas pol´ıticas de seguran¸ca utilizadas na empresa, devendo existir uma adapta¸c˜ao da pol´ıtica ao ato Sarbanes-Oxley, com uma especial aten¸c˜ao aos servi¸cos terceirizados, pois a empresa passa a ser respons´avel por toda a cadeia do neg´ocio, mesmo os terceirizados, portanto deve constar na pol´ıtica de seguran¸ca cl´ausulas que tratam esse assunto.
O ato Sarbanes Oxley requer uma conformidade cont´ınua, ou seja, n˜ao ´e um certifica¸c˜ao ou conformidade ´unica. A conformidade deve ser feita trimestral- mente e institui¸c˜oes que n˜ao atendam `a conformidade, n˜ao apenas a SOX, mas todas relacionadas `a seguran¸ca, est˜ao sujeitas a:
• Maior exposi¸c˜ao `a fraude; • Publicidade desfavor´avel; • Impacto negativo;
• A¸c˜oes judiciais.
As imposi¸c˜oes n˜ao devem ser vistas apenas como uma burocracia a mais a ser atendida e executada, deve-se aproveitar a oportunidade e implementar uma pol´ıtica de melhores pr´aticas de seguran¸ca que acabam por impactar todas as ´areas subseq¨uentes, tornando a empresa ´agil e bastante competitiva, pois a quali- dade e transparˆencia torna-se um atrativo n˜ao apenas para clientes, mas tamb´em para investidores.
A certifica¸c˜ao SOX depende fortemente de uma pol´ıtica de gest˜ao de risco, pois torna a organiza¸c˜ao totalmente gerenciada, onde seus riscos s˜ao mapeados e a eles ´e dado um valor, permitindo a cria¸c˜ao de estrat´egia para controle desses riscos, com isso a organiza¸c˜ao passa a ser transparente e apta a operar no mercado Americano.