LEI SARBANES-OXLEY de 2002

Governana de TI

LEI SARBANES-OXLEY DE 2002

ANTECEDENTES
Enron Corporation (Enron)
O arquivamento do pedido de falncia da Enron, uma empresa de energia do Texas, em dezembro de 2001, foi um desastre para seus dirigentes, empregados, auditores, banqueiros de investimento, e investidores fraudados. Enron e outros escndalos financeiros causaram uma perda aos acionistas estimada em US $460 bilhes.

Lei Sarbanes-Oxley de 2002

O colapso da Enron

LEI SARBANES-OXLEY

O Congresso dos Estados Unidos da Amrica homologou em 2002 uma Lei para proteger investidores, pela melhoria da exatido e confiabilidade das divulgaes feitas pelas corporaes, relativas s leis do mercado de capitais, e para outros fins.
O Presidente dos Estados Unidos aprovou sem vetos a Lei em julho de 2002.

LEI SARBANES-OXLEY DE 2002

Os objetivos da Lei
A Lei Sarbanes-Oxley de 2002 (A Lei) concentra-se mais nas pessoas que nas normas de auditoria. Concentra-se mais: Nas companhias pblicas (abertas), nos seus administradores, diretores e assessores jurdicos, Nas firmas de auditoria registradas e nos seus scios de auditoria, e Em outros participantes importantes no mercado de capitais, tais como analistas e bancos de investimento.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

APLICAO DA LEI A COMPANHIAS:

A Lei se aplica no somente a companhias abertas americanas mas tambm a todas as companhias (se organizadas nos Estados Unidos ou em outro lugar) que registraram aes ou ttulos de dvida na SEC de acordo com a Lei de Valores Mobilirios de 1934.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei
SEO 404 - AVALIAO DA ADMINISTRAO SOBRE CONTROLES INTERNOS Requer que cada relatrio anual da companhia emissora contenha um relatrio de controle interno, o qual deve, Declarar a responsabilidade da administrao pelo estabelecimento e manuteno de uma estrutura adequada de controles internos e de procedimentos para a preparao e apresentao de demonstraes financeiras; e Conter uma avaliao ao final do exerccio social da companhia emissora, da eficcia da estrutura de controles internos e procedimentos da companhia emissora para a preparao e apresentao de demonstraes financeiras. Cada auditor independente da companhia emissora deve auditar a avaliao feita pela administrao da companhia emissora, e emitir relatrio a respeito. Um exame de auditoria feito nos termos desta seo deve estar em conformidade com os padres de relatrio de auditoria emitidos ou adotados pelo Board. Um exame dessa natureza no deve constituir-se em uma contratao em separado da auditoria sobre as demonstraes financeiras.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

A avaliao de risco das empresas, inclusive para obteno de crdito, passa a ser medida pela sua capacidade de proteger seus ativos, na grande maioria intangveis, o que est diretamente relacionado ao atendimento dos requisitos de segurana da informao com implementao de controles para garantir que a administrao da empresa realmente saiba e publique para mercado, investidores e interessados a real situao da mesma, refletindo todo o seu cenrio de risco, em especial o operacional.
O risco operacional o risco de perda resultante de processos internos inadequados ou deficientes, pessoas, sistemas ou de eventos externos. Isso inclui o risco legal, assim como situaes erro de funcionrio, falha de computador, documentao irregular (inclusive a eletrnica) e fraude de toda sorte.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

O risco operacional o risco de perda resultante de processos internos inadequados ou deficientes, pessoas, sistemas ou de eventos externos. Isso inclui o risco legal, assim como situaes erro de funcionrio, falha de computador, documentao irregular (inclusive a eletrnica) e fraude de toda sorte.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei
TITULO VIII LEI DE 2002 SOBRE RESPONSABILIDADE CORPORATIVA E FRAUDE CRIMINAL Constitui um delito grave, propositadamente destruir ou criar documentos para impedir, obstruir ou influenciar qualquer investigao federal existente ou contemplada. Os auditores so requeridos a manter todos os papis de trabalho da auditoria e de reviso durante cinco anos. O estatuto de limitaes sobre reclamaes concernentes a fraudes no mercado de capitais ampliado para cinco anos, ou dois anos aps a descoberta da fraude, desde trs anos em diante, respectivamente. Aos empregados das companhias emissoras e das firmas de auditoria garantida proteo para denunciantes, que probe os empregadores tomarem certas aes contra empregados que legalmente divulguem informaes privativas dos empregadores. Aos denunciantes tambm garantida reparao para honorrios advocatcios. Um novo crime por fraudes do mercado de capitais que comina multas e at 10 anos de priso.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei
TTULO IX AUMENTO DAS PENALIDADES PARA CRIMES DO COLARINHO BRANCO. A pena mxima para fraudes de correio e Internet aumentadas de cinco para 10 anos. Constitui um crime alterar um registro ou impedir qualquer procedimento legal. A SEC tem autorizao para bloquear e congelar pagamentos extraordinrios a diretores, funcionrios, scios, pessoas controladoras, e agentes de empregados. A Comisso de Sentenas dos Estados Unidos para revisar guia de orientao para fraudes contbeis e do Mercado de Capitais. A SEC pode proibir qualquer pessoa condenada por fraude no mercado de capitais de praticar como funcionrio ou diretor de uma companhia de capital aberto. Demonstraes financeiras arquivadas na SEC devem ser certificadas pelo Presidente (CEO) e Diretor Financeiro (CFO). A certificao deve declarar que as demonstraes financeiras e divulgaes esto plenamente de acordo com as provises da Lei de Mercado de Capitais e que tais demonstraes apresentam adequadamente, em todos os aspectos relevantes, as operaes e a situao financeira da companhia emissora. Penalidades mximas para violaes propositais desta seo sujeitam a multa que excede $500.000 e/ou priso de at cinco anos.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei
SEO 1001 JUZO DO CONGRESSO A RESPEITO DAS DECLARAES DE IMPOSTO DE RENDA juzo do Congresso dos Estados Unidos que a declarao do imposto de renda de uma companhia deve ser assinada pelo Presidente (CEO) de tal companhia. SEO 1102 ALTERANDO UM REGISTRO OU DE ALGUMA MANEIRA IMPEDINDO UM PROCEDIMENTO LEGAL Constitui crime, qualquer pessoa, corruptamente, alterar, destruir, mutilar, ou esconder qualquer documento com a inteno de prejudicar a integridade do objeto ou sua disponibilidade para uso em um procedimento oficial ou de outra maneira obstruir, influenciar ou impedir qualquer procedimento oficial. Tal delito passvel de at 20 anos de priso e multa.

LEI SARBANES-OXLEY DE 2002

Seo 404 As obrigaes dessa Seo da Lei passaram a ser exigidas a partir de novembro de 2004. A Seo 404 Ela exige que que as companhias abertas revelem problemas significativos e materiais em seus sistemas de controles internos, e que os executivos da cpula administrativa garantam, pessoalmente, a eficincia desses controles.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

(1)
(2) (3)

Uma referncia o modelo de governana COSO Define que o controle interno um processo e deve ser exercido por todos os nveis da empresas. Os processos devem ser desenhados para atingir os seguintes objetivos: efetividade e eficincia na operao; dar confiabilidade nos relatrios financeiros; e, atender as leis e regulamentaes dos rgos pblicos.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

COSO:
A rea de TI deve cobrir todos os aspectos de segurana e controle das informaes digitais da empresa, devendo desenhar processos de controle das aplicaes para assegurar a confiabilidade do sistema operacional, a veracidade dos dados de sada e a proteo de equipamentos e arquivos.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

As reas de TI contam com alguns modelos de gesto que se aplicados asseguram a conformidade com as melhores prticas de processos e segurana da informao. Podem-se listar os seguintes modelos:
CobiT para a governana de TI; ITIL para a gesto de servios de TI; DRI para a especificao e operao de planos de continuidade de negcios; ISO 149977 (ou a BS-7799) para a gesto de segurana da informao; CMM que define um modelo de gesto para o desenvolvimento de software.

(1) (2) (3) (4)

(5)

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei
1. 2. 3. 4. 5. 6. 7. 8.

CobiT para a governana de TI:

Planejamento e Organizao Define o plano estratgico de TI Define a arquitetura da informao Determina a direo tecnolgica Define a organizao de TI e seus relacionamentos Gerencia os investimento de TI Gerencia a comunicao das direes de TI Gerencia os recursos humanos Assegura o alinhamento de TI com os requerimentos externos Avalia os riscos Gerencia os projetos Gerencia a qualidade

9.
10. 11.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

1.

CobiT para a governana de TI:

Aquisio e implementao Identifica as solues de automao Adquire e mantm os softwares Adquire e mantm a infra-estrutura tecnolgica Desenvolve e mantm os procedimentos Instala e certifica softwares Gerencia as mudanas

2.
3. 4. 5. 6.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

1. 2. 3. 4.

CobiT para a governana de TI:

Entrega e suporte Define e mantm os acordos de nveis de servios (SLA) Gerencia os servios de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos servios Assegura a segurana dos servios Identifica e aloca custos Treina os usurios Assiste e aconselha os usurios Gerencia a configurao Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operaes

5.
6. 7. 8. 9. 10. 11.

12.
13.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

1.

CobiT para a governana de TI:

Monitorao Monitora os processos Analisa a adequao dos controles internos Prove auditorias independentes Prove segurana independente

2.
3. 4.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

ITIL uma sigla para Information Technology Infrastructure Library. ITIL uma srie de livros e manuais de formao que expem e explicar as prticas que so mais benficas para os servios de TI (normalmente gerente centrada Servio de entrega-Parte do IT Service Management Set, o servio de entrega livro primariamente focada em ser proativo e olhando para o longo prazo para que as empresas requerem de seus TIC (tecnologias da informao e comunicaes)
Servio de Apoio tambm faz parte do IT Service Management Set. Este livro centrado no usurio final das empresas e garantir que todos os utilizadores finais de servios da empresa esto adequados para executar e completar as suas tarefas em conformidade.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

Gesto de Infra-estrutura das TIC e das TIC uma sigla de tecnologia da informao e comunicao, este manual inclui as melhores prticas para as vrias facetas da infra-estrutura TIC, incluindo as TIC concepo, planejamento, implantao, operao e suporte tcnico. ITIL Security Management-gerenciamento de segurana concentra-se nos melhores prticas e diretrizes para ter certeza de que as informaes so armazenadas de forma segura e protegida contra riscos de invaso e roubo. No mundo empresarial de hoje, extremamente importante que os dados sensveis permanece privado e confidencial. Perspectiva-Business Este livro detalha as melhores prticas e aborda muitas questes em TI. Este livro tenta facilitar a compreenso em relao a questes importantes em TI juntamente com a gesto da qualidade na IS (Information Service) campo. Application Management-Esse conjunto inclui as melhores prticas e orientaes no sentido de melhorar a qualidade de aplicaes de software e suporte destas aplicaes atravs do desenvolvimento de todo o ciclo de vida.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

Asset Management Software-Software de gesto de ativos parte da gesto dos servios de TI e software analisa a forma como deve ser tratado como um ativo com valor. Este livro detalha como as empresas podem poupar dinheiro atravs de polticas e procedimentos que utilizam programas informticos sublinham expedita. Planejamento para Implementar Service Management oferece-business com um quadro para analisar e compreender o que necessrio quando institui certas aproximaes e processos de TI. Muitas vezes um CSIP (Servio de Melhoria Contnua Program) executado, juntamente com outras disciplinas e de livros ITIL. ITIL Small Scale-Implementao Esta disciplina utilizada para as empresas com menores ITIL departamentos. Este livro cobre muitas das melhores prticas e diretrizes utilizadas para a execuo maior, mas se concentra bem como sobre os importantes papis e responsabilidades dentro de uma pequena unidade e formas de evitar conflitos entre as prioridades ITIL.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

O CMM (Capability Maturity Model) um Modelo de Maturidade de Capabilidade de Software que fornece s organizaes de software um guia de como obter controle em seus processos para desenvolver e manter software e como evoluir em direo a uma cultura de engenharia de software e excelncia de gesto.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

O CMM (Capability Maturity Model) se divide em cinco nveis de maturidade:

1) Inicial: O processo de software caracterizado como ad hoc e at mesmo ocasionalmente catico. Poucos processos so definidos e o sucesso depende de esforo individual. 2) Repetvel: Os processos bsicos de gesto de projeto so estabelecidos para acompanhar custo, cronograma e funcionalidade. A necessria disciplina do processo existe para repetir sucessos anteriores em projetos com aplicaes similares.

3) Definido: O processo de software para as atividades de gesto e engenharia documentado, padronizado e integrado em um processo de software padro para a organizao. Todos os projetos utilizam uma verso aprovada do processo de software padro para desenvolver e manter software.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

O CMM (Capability Maturity Model) se divide em cinco nveis de maturidade:

4) Gerenciado: Medidas detalhadas do processo de software e da qualidade do produto so realizadas. O processo e os produtos de software so quantitativamente compreendidos e controlados. 5) Em Otimizao: A melhoria contnua do processo propiciada pelo feedback quantitativo do processo e pelas idias e tecnologias inovadoras.

LEI SARBANES-OXLEY DE 2002

Aspectos relevantes da Lei

O BS 7799, como a maioria das normas de segurana, focaliza em trs pontos principais para garantir a segurana da informao, so eles: a integridade, que busca proteger a integridade e a certeza de que a informao realmente verdadeira; a confidencialidade, que garante que a informao seja limitada ou restringida, ou seja, acessada somente por quem tenha autorizao; e por ltimo a disponibilidade, que possibilita a utilizao no tempo e no local requerido pelo usurio.