Sem medo da SOX – parte 2

No Brasil, as empresas brasileiras com ações listadas na Bolsa de Nova York têm como prazo até dezembro desse ano, depois de muitas postergações. “As empresas brasileiras tiveram mais tempo para repensar o que estavam fazendo, analisar se estavam no caminho certo, pensar a longo prazo”, comenta Ricardo Balkins, sócio da área de gestão de riscos empresariais da Deloitte. André Nadjarian, diretor da área de soluções de negócios da Kaizen, tem a mesma percepção: “as corporações americanas tiveram de fazer tudo correndo. Por aqui a movimentação está mais tranqüila. Bancos como Bradesco e Unibanco e empresas como Petrobras estão na fase de busca de ferramentas mais rebuscadas”, conta.
A maior parte das empresas situadas no Brasil preocupadas com SOX é de filiais de multinacionais. Mas algumas, como a Sabesp, que tem ações listadas na Bolsa de Nova York, não tiveram tanto referencial e suporte. “Estamos mexendo na organização inteira. Vamos começar por processos, depois chegaremos aos sistemas”, conta Fernando Menezes, superintendente de TI da companhia. Segundo ele, a meta é estar com tudo pronto até julho. Até lá, haverá suporte da KPMG para fazer os diagnósticos da parte de compliance. E será necessária uma mãozinha extra em desenvolvimento. “Para algumas aplicações específicas”, explica.
Para ajudar na tarefa de aumentar a qualidade dos relatórios financeiros, foi criada uma organização não-governamental que oferece algumas recomendações para aderência à SOX. É o COSO (Commitee of Sponsoring Organizations of the Treadway Commission). A estrutura recomendada pela organização é desmembrar os controles internos em cinco componentes inter-relacionados: ambiente de controle (a base para todos os requisitos dos controles internos, inclui valores éticos dos funcionários; avaliação dos riscos, que identifica e analisa riscos inerentes que possam impedir o alcance dos objetivos do negócio); atividades de controle (tarefas específicas para minimizar os riscos detectados); informação e comunicação (fluxo de informação nas empresas); e monitoramento (avaliação e apreciação dos controles internos). Algumas fornecedoras oferecem soluções com base também em princípios do ITIL. É o caso da BMC Software, que oferece o BMC Identity Compliance Manager, justamente para reduzir custos com a complacência a leis, fundamentada em gestão de identidade.
E mesmo usuários que não precisam se adequar às regras da SOX estão adotando a regulamentação como base para suas melhores práticas, principalmente nos setores financeiro e de telecom, observa Sérgio Pires, gerente de software da HP (que oferece a solução HP OpenView Compliance Manager, software de controle de processos, para facilitar a adequação às regras do requisito).
Mas ainda há muito o que fazer, de acordo com João Carlos Lopes, gerente de marketing de storage, também da HP. O executivo alerta que, do ponto de vista da gestão documental, que é um dos pilares da transparência, há poucas iniciativas por parte das empresas, que estariam menos preocupadas com políticas de arquivamento de e-mails, por exemplo. “Todo mundo se concentra no mapeamento de processos, em fechar as torneiras de riscos. Poucas mobilizam TI para preservar a informação, ter uma política de e-mails. Os e-mails assinados por executivos, por exemplo, são considerados documentos válidos para as auditorias.”
Para Fernando Corbi, diretor-geral da BO no Brasil (que oferece a ferramenta Sarbannes-Oxley Compliance Analytics), cada empresa tem tido uma visão diferente de SOX. “Mas a lei é uma oportunidade para colocar em prática o conceito de visão única da verdade. Qual informação está sendo reportada para as autoridades?”, diz. “É o momento de zelar pela segurança na manipulação das informações, garantir sua veracidade”, complementa.

Página seguinte ( 3 )
Página anterior ( 1 )

Leia também:
O que é a Sarbanes-Oxley
Como aprender a amar SOX
Os impactos legais nas empresas
Especial: SOX nos EUA