O documento discute a Lei Sarbanes-Oxley (SOX), que visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas para minimizar riscos e fraudes. A SOX exige que as empresas públicas mantenham documentos de auditoria por 5 anos e aumenta a responsabilidade da administração sobre os controles internos e relatórios financeiros. A lei teve um grande impacto nas áreas de tecnologia da informação das empresas.
b) Muitos gestores utilizam um modelo simples que seja facilmente compreendid...
Jeneffer Ferreira Ribeiro - Artigo Segurança e Auditoria de Sistemas
1. Sarbanes-Oxley
Jeneffer Ferreira Ribeiro ∗
Sistemas de Informação
Universidade Presidente Antônio Carlos
38440-000 Araguari - MG
jeneffer.sys@gmail.com
Mestre: Rogério Mendes
Segurança e Auditoria de Sistemas
Universidade Presidente Antônio Carlos
38440-000 Araguari - MG
www.unipacaraguari.edu.br
25 Junho 2009
RESUMO
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanis-
mos de auditoria e segurança confiáveis nasempresas, incluindo ainda regras para a criação de comitês
encarregados de supervisionar suas atividades e operações, de modo a minimizar riscos aos negócios,
evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo
a transparência na gestão das empresas. Neste artigo irei abordar sobre a Seção 802 da Lei Sarbanes-
Oxley que exige que as empresas públicas e as suas empresas contabilidade pública para manter todos os
documentos trabalhos de auditoria ou revisão por um perı́odo de cinco anos a contar do final do perı́odo
fiscal em que a auditoria ou de revisão foi concluı́do.
ABSTRACT
The Sarbanes-Oxley Act, called for the SOX or Sarbox, is to ensure the mechanisms
for auditing and security nasempresas reliable, even including rules for the creation of com-
mittees responsible for supervising their activities and operations in order to mitigarriscos
for business, prevent the occurrence of fraud or ensure that there are ways to identify them
when they occur, ensuring transparency in the management of companies. In this article I
will address the Section 802 of the Sarbanes-Oxley requires that public companies and their
public accounting firms to keep all documents for audit or review work for a period of five
years from the end of the tax period in which the audit or review was concluded.
1 Introdução
Diante das várias crises de credibilidade enfrenta-
das pelo Mercado de Capitais Norte- Americano e
os vários escândalos contábeis envolvendo empre-
sas bem conceituadas mundialmente como a En-
ron, WordCom, Tyco e outras, destacados nas man-
chetes do mundo todo, tornou-se necessária a ação
das autoridades americanas para evitar maiores
prejuı́zos e a recuperação da credibilidade do mer-
cado, fator fundamental para assegurar que a maior
economia capitalista se mantivesse como tal. Neste
cenário, foi praticamente unânime a decisão do
congresso americano ao aprovar a implementação de
uma nova legislação: a Lei Sarbanes- Oxley. Como
toda lei é promulgada com o objetivo de proteger
os direitos da maioria, constituindo-se de normas e
regras a serem seguidas por todos e ainda de pena-
lidades para aqueles que não se adaptam àquelas,
a Sarbanes-Oxley não é uma exceção. Essa Lei é
considerada como uma das mais rigorosas regula-
mentações sobre o estabelecimento de controles in-
ternos, a elaboração de relatórios financeiros e a di-
vulgação de informações.
∗Aluno UNIPAC
2 Lei Sarbanes-Oxley
A Lei Sarbanes-Oxley foi assinada nos EUA no dia
30 de julho de 2002 pelo presidente do congresso
do paı́s, George Arbusto, organizador dos projetos
de lei elaborados pelo senador americano Paul Sar-
banes e pelo deputado federal Michael Oxley, sendo
oficialmente intitulada: Sarbanes-Oxley Act 2002,
também conhecida por Sarbox ou Sox e conside-
rada por muitos a maior reforma da legislação so-
cietária dos EUA desde os anos 30. A Sarbanes-
Oxley criou um novo ambiente de governança cor-
porativa e dessa forma gerou um conjunto de no-
vas responsabilidades e sanções aos administradores
para coibir as práticas lesivas que expõe as socie-
dades anônimas a elevados nı́veis de risco. Verifica-
se então, que o principal objetivo da lei foi recuperar
a credibilidade do mercado de capitais, evitando a
incidência de novos erros, semelhantes aos identi-
ficados na quebra de grandes empresas. O princi-
pal objetivo da Sarbanes-Oxley é recuperar a cre-
dibilidade do mercado de capitais, evitando a in-
cidência de novos erros, como os que contribuı́ram
para a quebra de grandes empresas. Para isto, ela
criou um novo ambiente de governança corpora-
tiva e gerou um conjunto de novas responsabilidades
e sanções aos administradores para evitar fraudes.
2. Esta Lei é considerada uma das mais rigorosas re-
gulamentações ao se tratar de controles internos,
elaboração de relatórios financeiros e divulgação, já
aplicada pelas companias abertas norte-americanas,
expandindo-se ainda a todas as empresas estran-
geiras com ações negociadas no mercado norte-
americano.
Para atingir seus objetivos a Lei SOX faz
algumas exigências:
• Fornecer maior confiança ao investidor e sus-
tentabilidade às organizações;
• Exige que as empresas demonstrem boas
práticas corporativas;
• Impõe procedimentos efetivos de governança
corporativa;
• Penalidades com imposição civil e criminal in-
ternacional;
• Ampliação da cultura de ética profissional;
• Declaração de responsabilidade da adminis-
tração em estabelecer e manter um sistema de
controles internos e métricas efetivas para, ava-
liação da efetividade dos controles;
• Declaração de auditoria independente certifi-
cando a avaliação da gerência;
• Declaração identificando a metodologia frame-
work usados para implementar e avaliar os
controles internos;
A SOX tem como objetivo atender os se-
guintes aspectos:
• Restituir a confiança dos investidores e audi-
tores independentes nas empresas de capital
privado;
• Aumentar a responsabilidade e comprometi-
mento da direção da empresa, relativamente
aos processos e controles internos;
• Aumentar a responsabilidade da supervisão
sobre as demonstrações financeiras apresenta-
das pelas organizações. Especificamente em
relação a área de TI, as seções 302 (certificação
das indicações financeiras pela diretoria) e 404
(auditoria interna, relatório gerencial atestado
por auditor certificado) afetam mais direta-
mente, na medida em que na seção 302 atribui à
diretoria a responsabilidade pelas informações
prestadas oficialmente e a seção 404 trata mais
precisamente dos controles internos e dos as-
pectos relacionados ao trabalho dos auditores
externos;
• Aprimorar a estrutura de controles internos, fi-
nanceiros e não financeiros;
• Melhorar os processos operacionais e financei-
ros;
• Alcançar um novo patamar de Governança
Corporativa.
Principais benefı́cios da SOX para a empresa
• Implantação de mecanismos de avaliação de ris-
cos e revisão dos processos;
• Formalização e divulgação de atividades e res-
ponsabilidades;
• Implantação de um código de ética;
• Proteção da empresa contra fraudes internas,
estabelecimento de controles e revisão da de-
legação de autoridade e aprovações;
• Comprometimento dos colaboradores em
relação às melhorias de controle;
• Elevação do nı́vel de segurança das aplicações;
• Viabilização dos controles internos e a ava-
liação de fluxo de informação, o mapeamento
de processos crı́ticos das empresas, gerencia-
mento dos riscos associados a estes processos,
alocação de responsabilidades aos responsáveis
internos, identificação de não-conformidades
com informações gerenciais e rapidez na re-
solução de riscos.
A SOX cria um organismo regulador das empresas
de auditoria e aumenta de forma considerável, as
responsabilidades e as penas dos executivos, além
de aumentar a complexidade da administração da
empresa. Torna diretores executivos e diretores fi-
nanceiros explicitamente responsáveis por estabele-
cer, avaliar e monitorar a eficácia dos controles in-
ternos sobre relatórios financeiros e divulgação , e
em caso de violação da Lei, os diretores, auditores e
consultores dessas empresas estarão sujeitos a pena
dessa Lei, que vão de 10 a 20 anos de prisão e multa
de até 5 milhões.
Além de todas as exigências a SOX cria
também outras inovações na Lei
• Proibição de empréstimos para diretores e
conselheiros;
• Planos de benefı́cios, limitação aos planos de
benefı́cios para empregados, nas empresas bra-
sileiras, aplica-se aos planos de aposentadoria;
• Dever de conduta dos advogados, novos e
rı́gidos aplicáveis aos advogados internos e ex-
ternos das empresas;
3. • Conteúdo e publicidade das informações pres-
tadas à SEC conforme regulamento visando
melhorar a qualidade das informações presta-
das, bem como aumentar seu alcance;
• O Comitê de auditoria deverá ser o órgão res-
ponsável pela escolha, remuneração e monito-
ramento das empresas de auditoria e contabili-
dade, e deverá ser composto por membros in-
dependentes pertencentes ao conselho de admi-
nistração;
• Conselho de auditores de companhia aberta,
criação de novo conselho que será responsável
pelo registro de empresas de auditoria, deter-
minações de padrões contábeis e disciplinares a
serem seguidos.
3 A lei Sarbanes-Oxley e seu
impacto em TI
A Sarbanes-Oxley, ou simplesmente Sox, é uma
lei criada nos Estados Unidos para aperfeiçoar os
controles financeiros das empresas que possuem
capital na Bolsa de Nova York, incluindo cerca
de 70 empresas brasileiras. Esta lei veio em de-
corrência dos escândalos financeiros das empresas
Enron, Worldcom e outras que pulverizaram as eco-
nomias pessoais de muitos americanos. A lei foi pro-
mulgada em 30 de julho de 2002 e prevê multas que
variam de 1 milhão e 5 milhões de dólares e penas
de reclusão entre 10 e 20 anos para os CEOs (Chief
Executive Officer) e CFOs (Chief Finance Officer)
das empresas. Estima-se que as empresas america-
nas gastarão entre 2 e 5 milhões de dólares para a
adequação de seus controles internos a Sox.
Uma das premissas da Sox é que as empresas
demonstrem eficiência na governança corporativa.
Uma referência nessa área é o modelo de governança
COSO site oficial (www.coso.org), criada em 1985
por iniciativa da National Comminsion on Frau-
dulent Financial Reporting para definir processos
para o controle interno das empresas. O COSO de-
fine que o controle interno é um processo e deve ser
exercido por todos os nı́veis da empresas. Os proces-
sos devem ser desenhados para atingir os seguintes
objetivos: (1) efetividade e eficiência na operação;
dar confiabilidade nos relatórios financeiros e aten-
der as leis e regulamentações dos órgãos públicos.
Nesse contexto, a área de (TI) Tecnologia da In-
formação tem um papel importante, onde o próprio
COSO faz um comentário especial. A área de
TI deve cobrir todos os aspectos de segurança e
controle das informações digitais da empresa, de-
vendo criar processos de controle das aplicações
para assegurar a confiabilidade do sistema operacio-
nal, a veracidade dos dados de saı́da e a proteção
de equipamentos e arquivos. Para cumprir essas
exigências devem rever todos os processos internos
cobrindo desde as metodologias de desenvolvimento
de sistemas até as áreas de operações de computa-
dores. Além disso, promover uma conscientização
nas áreas usuárias de seus recursos sobre os aspec-
tos de segurança e cuidados na manipulação das
informações, tais como: e-mails, compartilhamento
de diretórios nos PCs, compartilhamento de senhas
de acesso aos aplicativos, etc. Estes aspectos de en-
genharia social também devem ser reforçadas para
o pessoal de TI, que as vezes não conseguem deter-
minar os riscos de segurança em suas soluções.
Para atender aos novos desafios da governança cor-
porativa, as áreas de TI contam com alguns modelos
de gestão que se aplicados asseguram a conformi-
dade com as melhores práticas de processos e segu-
rança da informação. Podem-se listar os seguintes
modelos:
• CobiT Control Objectives for Information
and related Technology para a governança de
TI;
• ITIL Information Technology Infrastructure
Library para a gestão de serviços de TI;
• DRI Disaster Recovery Institute para a espe-
cificação e operação de planos de continuidade
de negócios;
• ISO 149977 (ou a BS-7799) para a gestão de
segurança da informação;
• CMMI Capability Maturity Modelque Inte-
gration define um modelo de gestão para o de-
senvolvimento de software.
Entendo que a adequação a esses padrões interna-
cionais traga um custo extra às empresas, podem
significar a perda de competitividade no mercado
no curto prazo. Entretanto, no médio e longo prazo
esses controles passarão a ser um diferencial posi-
tivo para atrair novos investimentos e segurança aos
acionistas.
4 Lei Sarbanes-Oxley (Seção
802)
Esta secção é listado no Tı́tulo VIII da Lei (Cor-
porate and Criminal Fraud Accountability), e per-
tence à ”sanções penais para alterar Documentos”.
Seção 802 da Lei Sarbanes-Oxley exige que as em-
presas públicas e as suas empresas de contabilidade
pública a manter todos os documentos trabalhos de
auditoria ou revisão por um perı́odo de cinco anos
a contar do final do perı́odo fiscal em que a audito-
ria ou de revisão foi concluı́do. Isso inclui registros
eletrônicos, que são criados, enviados ou recebidos
4. no âmbito de uma auditoria ou revisão. Como au-
ditores externos confiar em certa medida, do tra-
balho de auditoria interna, isso implicaria que os
registros de auditoria interna devem também cum-
prir com a Seção 802. Em conjunto com a retenção
de documentos, uma outra questão é da segurança
dos suportes de armazenamento e como documentos
eletrônicos são protegidas para uso atual e futuro.
Os cinco anos de registro em retenção e requisito
significa que a tecnologia atual deve ser capaz de
suportar o que estava guardado há cinco anos. De-
vido à rápida evolução da tecnologia, alguns meios
de hoje pode estar obsoleto nos próximos três ou
cinco anos. Dados da Auditoria conservados hoje
podem não ser recuperáveis não porque os dados
de degradação, mas por causa de equipamentos ob-
soletos e suportes de armazenamento. Seção 802
e suas organizações esperam responder a questões
sobre a gestão do conteúdo SOX . A TI deve in-
cluir as questões relacionadas com a polı́tica e as
normas sobre registro de retenção, proteção e des-
truição, armazenamento online, pistas de auditoria,
a integração com uma empresa repositório de mer-
cado, tecnologia, software e mais SOX. Além disso,
as organizações devem estar preparadas para defen-
der a qualidade dos seus registros de gestão pro-
grama (RM); abrangência de RM ou seja, papel,
eletrônico, transações comerciais, que inclui e-mails,
mensagens instantâneas, e planilhas que são usados
para analisar os resultados financeiros. Seção 802
da Lei Sarbanes-Oxley destina-se a abordar a des-
truição de provas ou de fabricação e preservação
dos ”registros financeiros e de auditoria.”Estamos
direcionado ao abrigo dessa seção para promulgar
regras relacionadas com a conservação dos registros
relevantes para as auditorias e análises das demons-
trações financeiras que os emitentes arquivam com
a Comissão.
Documentos a serem retidos
A última regra exige que o auditor deve conser-
var registros relevantes para a auditoria ou de re-
visão, incluindo workpapers e outros documentos
que fazem a base da auditoria ou revisão de de-
monstrações financeiras e contábeis do emitente, e
memorandos, correspondência, comunicações, ou-
tros documentos e registros (incluindo os registos
electrónicos) que cumpram os critérios.
Guarda dos documentos
O Tı́tulo VIII (Corporate and Criminal Fraud Ac-
countability) divide-se em sete seções, e a seção de
destaque é a 802. Nela é determinado que todo
auditor, ao realizar seu trabalho, deverá preservar
todos os documentos utilizados por um perı́odo de 5
anos após o fim do perı́odo fiscal em que a auditoria
foi concluı́da.
Workpapers Definido
Workpapers significa documentação de auditoria ou
revisão procedimentos aplicados, provas obtidas, e
as conclusões a que chega a contadora na audito-
ria ou revisão, como exigido pelos padrões estabe-
lecidos ou adaptados pela Comissão ou pelo Pu-
blic Company Accounting Oversight Board. Seção
802 destina-se a exigir a manutenção de mais do
que aquilo que tradicionalmente tem sido pensada
como do auditor workpapers para clarificar a dis-
tinção entre workpapers e outros materiais que se-
riam retidos, A história legislativa da seção 802
estabelece que o prazo é para ser utilizado como
ele é ”amplamente entendida”pela Comissão e pe-
los profissionais da contabilidade. O auditor deverá
elaborar e manter documentação de auditoria, cujo
conteúdo deve ser concebido para satisfazer as cir-
cunstâncias da revisão de contas especı́fica. Audito-
ria na documentação é o principal registro dos pro-
cedimentos de auditoria aplicados, provas obtidas,
e as conclusões do auditor.
5 Lei Sarbanes-Oxley (Seção
802) X Legislação do Brasil
Lei Sarbanes-Oxley (Seção 802)
• A pena para os presidentes e diretores finan-
ceiros que omitirem informações ou apresentar
informações falsas pode variar de 10 a 20 anos
de prisão ou altas multas. (Seção 802)
• Exige que papéis e e-mails dos principais docu-
mentos relacionados à auditoria dos resultados
sejam mantidos por 5 anos e determina pena de
10 anos por destruir tais documentos. (Seção
802)
Legislação do Brasil
• Os administradores respondem civilmente pe-
los prejuı́zos que causar à companhia quando
ultrapassarem os atos regulares de gestão ou
quando procederem, dentro de suas atribuições
e poderes, com culpa ou dolo.
• O auditor para fins de fiscalização do exercı́cio
profissional, deve conservar em boa guarda
toda a correspondência, relatórios, pareceres e
demais documentos relacionados com a audi-
toria pelo prazo de 5 anos, a contar da data
de emissão do parecer. (NBC P1 resolução
821/97).
6 SEC.802. Sanções penais
para alterar documentos
Em geral o Capı́tulo 73 do tı́tulo 18, Código dos
Estados Unidos, é dada pela adição, no final do
5. Século 1519. Com a destruição, alteração ou fal-
sificação dos registros Federais em investigações
,qualquer que seja, documento , registro que es-
conde ou abrange falsificação com a intenção de
impedir, obstruir ou influenciar a investigação ou
boa administração de qualquer assunto dentro do
jurisdição de qualquer departamento ou agência dos
Estados Unidos ou em qualquer caso, arquivada sob
o tı́tulo 11, ou em relação à contemplação ou de
qualquer matéria ou caso, deve ser multado sob este
tı́tulo, presos não mais de 20 anos, ou ambos. Séc .
1520. Destruição das sociedades de auditoria regis-
tros.
• (1)As relações comtábeis que conduz uma au-
ditoria de um emitente de valores mobiliários a
que ponto do Securities Exchange Act de 1934
(15 USC 78j-1 (um)), é aplicável, deve man-
ter todos os registros da auditoria ou revisão
workpapers em um perı́odo de 5 anos a contar
do final do perı́odo fiscal em que a auditoria ou
de revisão foi concluı́do.
• (2)A Securities and Exchange Commission de-
verá promulgar, no prazo de 180 dias, após a
informação adequada e uma oportunidade para
comentar e publicar, essas regras e regulamen-
tos, que são razoavelmente necessárias, rela-
tiva à manutenção de registros relevantes tais
como workpapers, os documentos que formam
a base de uma auditoria ou revisão, memo-
randos, correspondência, comunicações, outros
documentos de registros (incluindo os registros
eletrônicos) que são criadas, enviadas, recebi-
das ou em conexão com uma auditoria ou re-
visão e conter conclusões, pareceres, análises
ou informações financeiras relativas para tal
auditoria ou de revisão, que é conduzido por
um contabilista, que realiza uma auditoria de
um emitente de valores mobiliários a que ponto
do Securities Exchange Act de 1934 (15 USC
78j-1 (um)) se aplica. A Comissão pode, de
tempos a tempos, melhorar ou completar as
regras e regulamentos que é obrigado a pro-
mulgá-lo nos termos da presente seção, após
a informação adequada e uma oportunidade
para a observação, a fim de garantir que tais
regras e regulamentos sejuam compridos ade-
quadamente com os efeitos desta seção.
• Quem consciente e intencionalmente violar
subseção, ou qualquer regra ou regulamentação
promulgada pela Securities and Exchange
Commission na subsecção, deve ser multado
sob este tı́tulo, não mais de 20 anos presos ,
ou ambos.
• Nada no presente ponto devem ser conside-
rados para diminuir ou aliviar qualquer pes-
soa de qualquer outro direito ou obrigação im-
posta por lei federal ou estadual ou de regula-
mentação, a manter, ou abster-se de destruir,
qualquer documento.
Escriturário-ALTERAÇÃO A tabela dos pon-
tos, no inı́cio do capı́tulo 73 do tı́tulo 18,
Código dos Estados Unidos, é dada pela adição,
no final os seguintes novos itens:
• 1519. Destruição, alteração ou falsificação de
registos Federal em investigações e falência.
• 1520. Destruição das sociedades de auditoria
registros.
7 Conclusão
Lei Sarbanes Oxley criada para fortalecer suas
práticas de governança corporativa e gerar uma
imagem de transparência perante o mercado. A
ética e os valores devem vir sempre antes das nor-
mas, quer sejam regras internas ou mesmo Leis.
As novas regulamentações são, por sua vez, normas
para impor um regime ético de atuação empresa-
rial como é o caso da Lei Sarbanes Oxley. O código
de conduta, restruturação das equipes de audito-
ria, distribuição da responsabilidade da controlado-
ria para todas as áreas da corporação estão entre
as principais ações das organizações que buscam a
certificação da SOX. Porém, somente a partir de
2002, depois de aprovada a Lei Sarbanes Oxley, que
as grandes companhias tiveram de aperfeiçoar os
seus métodos de demonstrações financeiras, usando
procedimentos documentados e relatórios de toda
a movimentação interna para aprimorar a sua go-
vernança corporativa. A Lei trouxe uma série mu-
danças culturais nas empresas. Uma delas foi tirar
toda a responsabilidade da controladoria e auditoria
e dividi-la com todos os gerentes das outras áreas
de produção da empresa. A SOX foi um esforço do
governo federal norte-americano para reconstruir a
confiança dos investidores no mercado acionário por
meio da institucionalização da governança corpora-
tiva, a qual tornou obrigatória a presença de instru-
mentos de controles internos, atribuindo responsa-
bilidades aos diversos agentes integrantes da cadeia
de suprimento de informações (prestação de contas)
das organizações.