O que é conformidade com a SOX? Tudo que você precisa saber em 2019

Em 2022, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley, que estabelecia regras para proteger o público de práticas fraudulentas ou errôneas feitas por empresas e outras entidades contábeis. O objetivo da legislação é aumentar a transparência nos relatórios financeiros das empresas e exigir um sistema de controles recíprocos formalizado em cada uma delas.

Estar em conformidade com a SOX não é só uma obrigação legal, mas também uma boa prática comercial. É claro que as empresas devem se comportar de forma ética e limitar o acesso a sistemas financeiros internos. No entanto, a implementação dos controles de segurança financeira previstos pela SOX também tem outro benefício: ajudar a proteger a empresa contra roubo de dados, seja por ameaças internas, seja por ataques cibernéticos. A conformidade com a SOX pode incluir muitas das mesmas práticas de qualquer iniciativa de segurança de dados.

História da conformidade com a SOX

Paul Sarbanes (senador do estado de Maryland e membro do partido Democrata) e Michael G. Oxley (representante do estado de Ohio e membro do partido Republicano) escreveram este projeto de lei em resposta a vários escândalos corporativos de grande repercussão, sobretudo os das empresas Enron, Worldcom e Tyco.

A meta estabelecida pela SOX é “proteger os investidores ao melhorar a precisão e a credibilidade das divulgações de informações empresariais”. Além de determinar responsabilidades para os conselhos e para os diretores de empresas de capital aberto, o projeto também estabelecia sanções penais por não cumprimento. A lei foi aprovada por maioria esmagadora na Câmara e no Senado dos Estados Unidos. Apenas três membros se opuseram.

Quem deve estar em conformidade com a SOX?

A SOX se aplica a todas as empresas de capital aberto dos Estados Unidos, bem como a subsidiárias integrais e empresas estrangeiras que são de capital aberto e operam nos Estados Unidos. A SOX também regula os escritórios de contabilidade responsáveis pela auditoria em empresas que devem estar em conformidade com a SOX.

Empresas privadas, entidades filantrópicas e organizações sem fins lucrativos geralmente não são obrigadas a cumprir tudo que é previsto pela SOX. Entidades privadas não devem destruir ou falsificar dados financeiros intencionalmente. O texto da SOX prevê sanções às entidades que o fizerem. Empresas privadas que estão planejando uma Oferta Pública Inicial (IPO, na sigla em inglês) devem se preparar para cumprir os requisitos da SOX antes de abrirem o capital.

Requisitos para conformidade com a SOX

Os requisitos mais importantes da SOX são:

• Diretores-presidentes (CEOs) e diretores financeiros (CFOs) têm responsabilidade direta pela veracidade, pela documentação e pelo envio de todas as demonstrações financeiras, bem como pela estrutura de controle interno para a Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês). Em caso de falha (intencional ou não) no cumprimento, os diretores ficam sob risco de pena de prisão e sanções pecuniárias.
• A SOX estipula um Relatório de Controle Interno declarando que a administração é responsável por uma estrutura de controle interno adequada para suas demonstrações financeiras. Quaisquer falhas devem ser relatadas aos superiores o mais rápido possível por questões de transparência.
• A SOX impõe políticas formais de segurança de dados, comunicação de políticas de segurança de dados e execução consistente de políticas de segurança de dados. As empresas devem elaborar e implementar uma ampla estratégia de segurança de dados que proteja e mantenha seguros todos os dados financeiros armazenados e utilizados durante transações correntes.
• A SOX determina que as empresas possuam e forneçam documentação comprovando que estão em conformidade e que estão constantemente monitorando e controlando os objetivos de conformidade com a SOX.

Auditorias de conformidade com a SOX

A SOX exige que as empresas realizem auditorias anuais e tornem os resultados de fácil acesso para qualquer parte interessada. As empresas contratam auditores independentes para realizar as auditorias de conformidade com a SOX. Essas devem ser separadas de quaisquer outras auditorias, com o objetivo de evitar um conflito de interesses.

O objetivo principal da auditoria de conformidade com a SOX é a verificação das demonstrações financeiras da empresa. Os auditores comparam demonstrações anteriores com a demonstração do ano corrente e determinam se tudo está nos conformes. Os auditores também podem entrevistar a equipe e verificar se os controles de conformidade são suficientes para manter os padrões de conformidade com a SOX.

Como se preparar para uma auditoria de conformidade com a SOX

Atualize seus sistemas de relatórios e de auditoria interna para que seja possível obter rapidamente qualquer relatório solicitado pelo auditor. Verifique se seus sistemas de software de conformidade com a SOX estão funcionando conforme o esperado, com o objetivo de evitar qualquer surpresa.

Auditoria de controles internos para a SOX

Seu auditor de conformidade com a SOX investigará quatro controles internos na auditoria anual. Para estar em conformidade com a SOX, é fundamental demonstrar sua capacidade nos seguintes controles:

• Acesso: Acesso significa controles físicos (portas, crachás, gaveteiros de arquivos com fechaduras) e controles eletrônicos (políticas de login, acesso com privilégios mínimos e auditorias de permissões). Ter um modelo de acesso com menos permissões significa que cada usuário só tem o acesso necessário para realizar seus trabalhos e é um requisito de conformidade com a SOX.

• Segurança: Nesse contexto, segurança significa que a empresa pode demonstrar proteções contra vazamentos de dados. Quem escolhe como implementar esse controle é a própria empresa.

• Backup de dados: Tenha backups externos e em conformidade com a SOX de todas as suas demonstrações financeiras.

• Gerenciamento de alterações: Tenha processos definidos para adicionar e gerenciar usuários, para instalar novos softwares e para fazer alterações em bancos de dados ou aplicações que gerenciam as finanças da sua empresa.

Benefícios de um software de conformidade em uma auditoria da SOX

Uma das melhores formas de demonstrar conformidade com a SOX é implementando uma plataforma de software de segurança centrada em dados. As plataformas modernas de segurança de dados podem ajudar a identificar problemas de autorização, a encontrar e categorizar dados financeiros confidenciais e a proteger sua empresa contra vazamentos de dados ou ataques de ransomware.

Uma dica: a Varonis faz tudo isso e muito mais.

Checklist da SOX

É sempre bom fazer um checklist de conformidade com a SOX. Confira algumas sugestões e boas práticas em relação à conformidade:

• Verificar se seu software de conformidade com a SOX está atualizado e sem de alertas. Investigue quaisquer alertas o mais rápido possível. Isso é um checklist completo por si só.
• Ter relatórios de situação periódicos sobre a conformidade com a SOX. Uma simulação de incêndio surpresa no dia da auditoria não é nada bom. Tenha controle sobre a situação durante o ano todo.
• Dar o acesso que os auditores da SOX precisam para trabalhar.
• Relatar quaisquer violações de segurança ou problemas de conformidade o mais rápido possível.

Benefícios da conformidade com a SOX

A SOX proporciona o modelo que uma empresa deve seguir para gerir melhor suas demonstrações financeiras. Em troca, muitos outros aspectos são otimizados.

A empresas que estão em conformidade com a SOX relatam que seus resultados financeiros são mais previsíveis, o que deixa as partes interessadas felizes. Essas empresas relatam ainda que, devido à melhoria dos relatórios financeiros, têm acesso mais fácil ao mercado de capitais.

Ao implementarem a SOX, as empresas ficam mais seguras contra ataques cibernéticos e contra as consequências onerosas e vexatórias de um vazamento de dados. Gerenciar e limpar um vazamento de dados custa caro. Além disso, é possível que as empresas nunca recuperem os danos causados à marca.

A conformidade com a SOX cria uma equipe interna coerente e melhora a comunicação entre as equipes envolvidas com as auditorias. Os benefícios de um programa para toda a empresa como a SOX podem ter outros efeitos palpáveis, como a melhoria da comunicação e da cooperação multidisciplinar.

Outras organizações e modelos para conhecer

A SOX gerou vários outros conceitos que você precisa conhecer enquanto está no processo de cumprir todos os requisitos da conformidade.

• PCAOB: O Public Company Accounting Oversight Board (Conselho de Supervisão de Contabilidade de Empresas Públicas, em tradução livre) elabora padrões de auditoria e treina auditores em relação às melhores práticas para realizar uma auditoria da SOX bem-sucedida.
• COSO: O Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras, em tradução livre) atualiza as recomendações de controles internos para estar em conformidade com a SOX. Essas recomendações dão informações sobre os padrões de auditoria do PCAOB.
• COBIT: O Control Objectives for Information and related Technology (Controle de Objetivos para a Informação e Tecnologia Relacionadas, em tradução livre) é outro modelo para a conformidade com a SOX desenvolvido pela Information Systems Audit and Control Association (Associação de Auditoria e Controle de Sistemas de Informação, em tradução livre, conhecida pela sigla em inglês ISACA). É uma lista detalhada com 34 procedimentos recomendados para a segurança de TI.
• ITGI: O Information Technology Governance Institute (Instituto de Governança em Tecnologia da Informação, em tradução livre) é outro modelo de TI para estar em conformidade com a SOX. Apesar de o ITGI utilizar padrões do COBIT e do COSO, esse instituto se concentra na segurança, não apenas na conformidade em geral.

Estar em conformidade com a SOX não precisa ser difícil. A Varonis automatiza diversos controles de segurança de dados da SOX. Com a Varonis, você pode resolver problemas de autorização, encontrar dados ocultos da SOX e detectar acesso incomum aos seus arquivos financeiros.  

Confira o podcast Inside Out Security Show com Guy Melamed, diretor financeiro da Varonis, para entender como a Varonis lida com a conformidade com a SOX!