Regulamentos e Impactos na TI
Em muitos casos a adoção é obrigatória para a organização continuar operando
Sarbanes-Oxley (SOX) – controles financeiros para garantir transparência fiscal
Envolvimento da TI?
Organizações tem seus processos, controles e regras de negócio baseadas em sistema de computador. A Tecnologia é crítica.
As informações financeiras, como balanços contábeis são extraídas de um ERP. As leis e regulamentos forçam as empresas a terem controles sobre estas informações.
A Governança de TI deve buscar o equilíbrio, fazendo que TI entregue valor, alcance as metas, mas não deixe de atender os requisitos regulatórios.
Fraudes das empresas Enron e WorldCom motivaram o surgimento da SOX. Essas fraudes geram prejuízos aos investidores, levando a perda de credibilidade e fuga de investidores.
SOX – 2002 = Segurança aos investidores. Aumentou a responsabilidade da administração das empresas. Aplica-se a empresas de capital aberto. No Brasil essa lei se aplica às empresas com ações negociadas nos mercados de capitais dos EUA.
Características SOX:
- Responsabiliza criminalmente o CEO e o CFO por fraudes.
- Ênfase na transparência dos dados para analise e interpretação dos resultados
- Ênfase ao uso Framework
- Define Penalidades rígidas
- Implantação de diretrizes da SEC (Securities and Exchanged Commission)
Seções da SOX (11 partes)
TI – seção 404 – Relatório anual sobre controles internos das demonstrações financeiras. (realizado nos sistemas)
Conformidade com a SOX
TI deverá:
- Identificar sistemas que suportam os processos
- Identificar riscos
- Implantar controles que garantam CID
- Implantar trilhas de auditoria
- Gerenciar controles e efetividade
COSO – Framework para guiar empresas para conformidade com a SOX
- Define um controle interno como um processo, executado pelo board. Fornece garantia ao atendimento dos objetivos em:
- Eficiência e eficácia das operações
- Confiabilidade nos relatórios financeiros
- Conformidade com leis e regulamentos
Consiste de 5 componentes de controle interno inter-relacionados com 3 componentes de gerenciamento de riscos empresariais
COSO – voltado para área de negócio
COBIT – direcionado para controles de TI
COBIT – tem mapeamento para o padrão de auditoria PCAOB (auditoria SOX)
Acordo da Basiléia II
- Afeta instituição de crédito e investimentos
- Surgiu para evitar fraudes – setor bancário
- Firma exigências mínimas de capital – precauções contra risco de crédito
- Banco Central realiza auditoria nas instituições financeira
Do ponto de vista da Governança Corporativa e de TI, o Acordo da Basiléia se aplica à exigência da criação de políticas de gerenciamento de riscos para garantir total segurança e confidencialidade dos dados.
Resolução 3380 – BANCO CENTRAL
Determina que instituições financeiras implantem a sua própria estrutura de gerenciamento de riscos operacionais.
Implicação para TI:
- Avaliação riscos
- Plano de Continuidade
- Gerenciar Riscos que os prestadores de serviços representam para a Continuidade do Negócio
Outros Regulamentos:
Susep, ANS, CVM, Governo, TCU