Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Privacidade e Conformidade

O que é conformidade com a SOX? Tudo que você precisa saber em 2019

Um guia completo sobre a SOX (Lei Sarbanes-Oxley), com requisitos, informações sobre auditoria e checklists úteis para garantir que você esteja em conformidade com a SOX.
Michael Buckbee
5 minuto de leitura
Ultima atualização 12 de Outubro de 2023

Conteúdo

    Em 2022, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley, que estabelecia regras para proteger o público de práticas fraudulentas ou errôneas feitas por empresas e outras entidades contábeis. O objetivo da legislação é aumentar a transparência nos relatórios financeiros das empresas e exigir um sistema de controles recíprocos formalizado em cada uma delas.

    Estar em conformidade com a SOX não é só uma obrigação legal, mas também uma boa prática comercial. É claro que as empresas devem se comportar de forma ética e limitar o acesso a sistemas financeiros internos. No entanto, a implementação dos controles de segurança financeira previstos pela SOX também tem outro benefício: ajudar a proteger a empresa contra roubo de dados, seja por ameaças internas, seja por ataques cibernéticos. A conformidade com a SOX pode incluir muitas das mesmas práticas de qualquer iniciativa de segurança de dados.

    Receba o guia essencial gratuito para conformidade e regulamentação de proteção de dados dos EUA.

    História da conformidade com a SOX

    Paul Sarbanes (senador do estado de Maryland e membro do partido Democrata) e Michael G. Oxley (representante do estado de Ohio e membro do partido Republicano) escreveram este projeto de lei em resposta a vários escândalos corporativos de grande repercussão, sobretudo os das empresas Enron, Worldcom e Tyco.

    A meta estabelecida pela SOX é “proteger os investidores ao melhorar a precisão e a credibilidade das divulgações de informações empresariais”. Além de determinar responsabilidades para os conselhos e para os diretores de empresas de capital aberto, o projeto também estabelecia sanções penais por não cumprimento. A lei foi aprovada por maioria esmagadora na Câmara e no Senado dos Estados Unidos. Apenas três membros se opuseram.

    Quem deve estar em conformidade com a SOX?

    A SOX se aplica a todas as empresas de capital aberto dos Estados Unidos, bem como a subsidiárias integrais e empresas estrangeiras que são de capital aberto e operam nos Estados Unidos. A SOX também regula os escritórios de contabilidade responsáveis pela auditoria em empresas que devem estar em conformidade com a SOX.

    Empresas privadas, entidades filantrópicas e organizações sem fins lucrativos geralmente não são obrigadas a cumprir tudo que é previsto pela SOX. Entidades privadas não devem destruir ou falsificar dados financeiros intencionalmente. O texto da SOX prevê sanções às entidades que o fizerem. Empresas privadas que estão planejando uma Oferta Pública Inicial (IPO, na sigla em inglês) devem se preparar para cumprir os requisitos da SOX antes de abrirem o capital.

    Requisitos para conformidade com a SOX

    Lista de requisitos para conformidade com a SOX no texto

    Os requisitos mais importantes da SOX são:

    • Diretores-presidentes (CEOs) e diretores financeiros (CFOs) têm responsabilidade direta pela veracidade, pela documentação e pelo envio de todas as demonstrações financeiras, bem como pela estrutura de controle interno para a Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês). Em caso de falha (intencional ou não) no cumprimento, os diretores ficam sob risco de pena de prisão e sanções pecuniárias.
    • A SOX estipula um Relatório de Controle Interno declarando que a administração é responsável por uma estrutura de controle interno adequada para suas demonstrações financeiras. Quaisquer falhas devem ser relatadas aos superiores o mais rápido possível por questões de transparência.
    • A SOX impõe políticas formais de segurança de dados, comunicação de políticas de segurança de dados e execução consistente de políticas de segurança de dados. As empresas devem elaborar e implementar uma ampla estratégia de segurança de dados que proteja e mantenha seguros todos os dados financeiros armazenados e utilizados durante transações correntes.
    • A SOX determina que as empresas possuam e forneçam documentação comprovando que estão em conformidade e que estão constantemente monitorando e controlando os objetivos de conformidade com a SOX.

    Auditorias de conformidade com a SOX

    A SOX exige que as empresas realizem auditorias anuais e tornem os resultados de fácil acesso para qualquer parte interessada. As empresas contratam auditores independentes para realizar as auditorias de conformidade com a SOX. Essas devem ser separadas de quaisquer outras auditorias, com o objetivo de evitar um conflito de interesses.

    O objetivo principal da auditoria de conformidade com a SOX é a verificação das demonstrações financeiras da empresa. Os auditores comparam demonstrações anteriores com a demonstração do ano corrente e determinam se tudo está nos conformes. Os auditores também podem entrevistar a equipe e verificar se os controles de conformidade são suficientes para manter os padrões de conformidade com a SOX.

    Como se preparar para uma auditoria de conformidade com a SOX

    Atualize seus sistemas de relatórios e de auditoria interna para que seja possível obter rapidamente qualquer relatório solicitado pelo auditor. Verifique se seus sistemas de software de conformidade com a SOX estão funcionando conforme o esperado, com o objetivo de evitar qualquer surpresa.

    Auditoria de controles internos para a SOX

    Lista de requisitos para conformidade com a auditoria da SOX no texto

    Seu auditor de conformidade com a SOX investigará quatro controles internos na auditoria anual. Para estar em conformidade com a SOX, é fundamental demonstrar sua capacidade nos seguintes controles:

    • Acesso: Acesso significa controles físicos (portas, crachás, gaveteiros de arquivos com fechaduras) e controles eletrônicos (políticas de login, acesso com privilégios mínimos e auditorias de permissões). Ter um modelo de acesso com menos permissões significa que cada usuário só tem o acesso necessário para realizar seus trabalhos e é um requisito de conformidade com a SOX.
    • Segurança: Nesse contexto, segurança significa que a empresa pode demonstrar proteções contra vazamentos de dados. Quem escolhe como implementar esse controle é a própria empresa.
    • Backup de dados: Tenha backups externos e em conformidade com a SOX de todas as suas demonstrações financeiras.
    • Gerenciamento de alterações: Tenha processos definidos para adicionar e gerenciar usuários, para instalar novos softwares e para fazer alterações em bancos de dados ou aplicações que gerenciam as finanças da sua empresa.

    Benefícios de um software de conformidade em uma auditoria da SOX

    Uma das melhores formas de demonstrar conformidade com a SOX é implementando uma plataforma de software de segurança centrada em dados. As plataformas modernas de segurança de dados podem ajudar a identificar problemas de autorização, a encontrar e categorizar dados financeiros confidenciais e a proteger sua empresa contra vazamentos de dados ou ataques de ransomware.

    Uma dica: a Varonis faz tudo isso e muito mais.

    Checklist da SOX

    Checklist de requisitos para conformidade com a SOX no texto

    É sempre bom fazer um checklist de conformidade com a SOX. Confira algumas sugestões e boas práticas em relação à conformidade:

    • Verificar se seu software de conformidade com a SOX está atualizado e sem de alertas. Investigue quaisquer alertas o mais rápido possível. Isso é um checklist completo por si só.
    • Ter relatórios de situação periódicos sobre a conformidade com a SOX. Uma simulação de incêndio surpresa no dia da auditoria não é nada bom. Tenha controle sobre a situação durante o ano todo.
    • Dar o acesso que os auditores da SOX precisam para trabalhar.
    • Relatar quaisquer violações de segurança ou problemas de conformidade o mais rápido possível.

    Benefícios da conformidade com a SOX

    A SOX proporciona o modelo que uma empresa deve seguir para gerir melhor suas demonstrações financeiras. Em troca, muitos outros aspectos são otimizados.

    A empresas que estão em conformidade com a SOX relatam que seus resultados financeiros são mais previsíveis, o que deixa as partes interessadas felizes. Essas empresas relatam ainda que, devido à melhoria dos relatórios financeiros, têm acesso mais fácil ao mercado de capitais.

    Ao implementarem a SOX, as empresas ficam mais seguras contra ataques cibernéticos e contra as consequências onerosas e vexatórias de um vazamento de dados. Gerenciar e limpar um vazamento de dados custa caro. Além disso, é possível que as empresas nunca recuperem os danos causados à marca.

    A conformidade com a SOX cria uma equipe interna coerente e melhora a comunicação entre as equipes envolvidas com as auditorias. Os benefícios de um programa para toda a empresa como a SOX podem ter outros efeitos palpáveis, como a melhoria da comunicação e da cooperação multidisciplinar.

    Outras organizações e modelos para conhecer

    A SOX gerou vários outros conceitos que você precisa conhecer enquanto está no processo de cumprir todos os requisitos da conformidade.

    • PCAOB: O Public Company Accounting Oversight Board (Conselho de Supervisão de Contabilidade de Empresas Públicas, em tradução livre) elabora padrões de auditoria e treina auditores em relação às melhores práticas para realizar uma auditoria da SOX bem-sucedida.
    • COSO: O Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras, em tradução livre) atualiza as recomendações de controles internos para estar em conformidade com a SOX. Essas recomendações dão informações sobre os padrões de auditoria do PCAOB.
    • COBIT: O Control Objectives for Information and related Technology (Controle de Objetivos para a Informação e Tecnologia Relacionadas, em tradução livre) é outro modelo para a conformidade com a SOX desenvolvido pela Information Systems Audit and Control Association (Associação de Auditoria e Controle de Sistemas de Informação, em tradução livre, conhecida pela sigla em inglês ISACA). É uma lista detalhada com 34 procedimentos recomendados para a segurança de TI.
    • ITGI: O Information Technology Governance Institute (Instituto de Governança em Tecnologia da Informação, em tradução livre) é outro modelo de TI para estar em conformidade com a SOX. Apesar de o ITGI utilizar padrões do COBIT e do COSO, esse instituto se concentra na segurança, não apenas na conformidade em geral.

    Estar em conformidade com a SOX não precisa ser difícil. A Varonis automatiza diversos controles de segurança de dados da SOX. Com a Varonis, você pode resolver problemas de autorização, encontrar dados ocultos da SOX e detectar acesso incomum aos seus arquivos financeiros.  

    Confira o podcast Inside Out Security Show com Guy Melamed, diretor financeiro da Varonis, para entender como a Varonis lida com a conformidade com a SOX!

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael trabalhou como administrador de sistemas e desenvolvedor de software em startups no Vale do Silício, na Marinha dos Estados Unidos e em todos vários setores nesse meio.

    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
    Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)
    certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
    Shane Waterford
    27 de Dezembro de 2023
    O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0 
    estrutura-de-gerenciamento-de-risco-(rmf):-uma-visão-geral
    Estrutura de gerenciamento de risco (RMF): uma visão geral
    estrutura-de-gerenciamento-de-risco-(rmf):-uma-visão-geral
    Michael Buckbee
    10 de Novembro de 2023
    A estrutura de gerenciamento de risco (RMF) é um conjunto de critérios que determina como os sistemas de TI do governo dos Estados Unidos devem ser arquitetados, protegidos e monitorados. 
    ameaça-interna:-como-detectar-e-prever
    Ameaça interna: como detectar e prever
    ameaça-interna:-como-detectar-e-prever
    Emilia Bertolli
    20 de Abril de 2023
    Uma ameaça interna é aquela provocada por um funcionário, ex-funcionário ou qualquer outro usuário a dados, ou aplicativos da empresa
    conformidade-com-o-soc-2:-definição-e-lista-de-verificação
    Conformidade com o SOC 2: definição e lista de verificação
    conformidade-com-o-soc-2:-definição-e-lista-de-verificação
    David Harrington
    9 de Março de 2023
    A conformidade com o SOC 2 é a forma de fornecedores SaaS estabelecerem controles de segurança para proteção de dados