Gestão
Como aprender a amar Sarbanes-Oxley
Dave Bowser, gerente de segurança de sistemas de informação da Kennametal, detecta grandes benefícios na adequação das empresas às regras de auditoria
Dave Bowser
Publicada em 19 de janeiro de 2006 às 00h00
“Como a maioria de vocês, abordei a adequação a Sarbanes-Oxley com uma certa ansiedade. Em muitas empresas, há sempre resistência à mudança e medo do desconhecido, e SOX se encaixa neste contexto. Até no meu departamento os funcionários se mostraram apreensivos com a possibilidade de papelada extra e aprovação mais lenta, ou seja, mais tempo para tudo. Fora da empresa, estávamos preocupados com os auditores. Não porque havíamos feito algo errado, mas porque não sabíamos o que eles estavam procurando.
Apesar das nossas preocupações, saímos relativamente ilesos do primeiro ano de adequação a SOX. E a melhor notícia: ao contrário da opinião popular de que o acréscimo de controles, inevitavelmente, vai gerar lentidão, vejo forte correlação entre eficiência e bons controles. Isso mesmo. Não obstante todo o aborrecimento com a regulamentação, a adequação a SOX poderá ser benéfica para a segurança da informação.
Seja como for, aprendi o que pode tornar este ano menos estressante e mais produtivo.
1 Aprimore a documentação.
A lição maior do primeiro ano nos Estados Unidos foi que a documentação de controles que não são cruciais leva a um processo de auditoria desnecessariamente árduo. Se você documentar, eles vão auditar. Não tente impressionar os auditores com muitos controles. Eles não querem ver isso. Eles preferem a profundidade de controles críticos à amplitude de lidar com cada controle. Não seja acadêmico, tentando seguir ponto por ponto cada um dos frameworks de referência para controle de TI. Você vai se matar tentando documentar todos estes controles e os auditores serão obrigados a considerá-los essenciais para seu negócio (e a auditar todos).
Vamos deixar claro: não estou dizendo que você deve, arbitrariamente, reduzir o número de controles. Não seria uma atitude inteligente. E não estou sugerindo que despreze estes frameworks de controle. Muita experiência foi dedicada ao seu desenvolvimento e, se você ignorar as partes críticas destes frameworks, os auditores saberão. Só estou dizendo que você deve direcionar sua documentação para os controles que são vitais para sua empresa. Os auditores vão seguir sua orientação e se concentrar no que é importante.
Admito que descobrir os controles essenciais é um processo de aprendizado. Pedimos orientação a auditores independentes. Mas também sou auditor e entendo de ambientes de controle, o que ajudou. Recorra a pessoal com experiência dentro e fora de sua organização para determinar os controles-chave.
2 Centralizar é simplificar.
Uma coisa inteligente que fizemos foi centralizar a administração da segurança. Digamos que você tenha seis sistemas de negócio em seis lugares, e um controle em cada um destes sistemas seja a administração da identidade e da senha do usuário. Se você não tiver uma administração de segurança centralizada, serão seis controles diferentes para os auditores verificarem. Centralize a administração, documente o controle uma vez, e ele se aplicará a toda parte, contanto que seja processado de uma maneira só, por um único conjunto de pessoas (descobri que isso é especialmente importante para os auditores). Assim você torna sua auditoria menos dolorosa e reduz drasticamente o número total de controles, criando eficiência para o negócio.
3 Para lidar com aquisições, bata o martelo.
Auditores tiram um retrato, mas sua empresa é um filme. Ela continua mudando mesmo após a aprovação dos auditores. Justo quando você pensava que estava tudo certo, descobre que o escopo da adequação mudou. Como muitas empresas, crescemos através de aquisições no ano passado. E, no nosso caso, as empresas adquiridas eram de capital fechado. Não tinham experiência com SOX. Nossa abordagem para tal situação é estender nosso “modelo de SOX” à empresa adquirida.
Seja firme e coerente, e tudo funciona. Eles têm poucas razões para desgostar e nós temos muitas razões para fazer, a primeira delas sendo manter nossos controles centralizados e otimizados para que os auditores trabalhem com mais tranqüilidade. Uma empresa, por exemplo, tinha um sistema de negócio que suportava senhas complexas, um dos nossos controles, mas em seu sistema ele não estava ativado. Insistimos para que ele fosse ativado e, no fim das contas, obtivemos um controle geral melhor por causa disso.
Página seguinte ( 2 )
Leia também:
O que é Sarbanes-Oxley
Sem medo da SOX
Os impactos legais nas empresas
Especial: SOX nos EUA
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
Channelworld | CIO | Computerworld | Macworld | Digital Age 2.0 | Eventos | IDG Now! | Now!Digital | PC World
Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito da Now!Digital Business Ltda. é proibida. CIO é uma propriedade da International Data Group, Inc., licenciado pela Now!Digital Business Ltda.
Estados Unidos: IDG.com | IDG Connect | IDG Knowledge Hub | IDG TechNetwork | CIO | CSO | Computerworld | Infoworld | Macworld | Network World | PC World
