Leis de Sox

Prévia do material em texto

Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
• Lei Sarbanes Oxley, ou simplesmente SOX, foi 
criada no ano de 2002, motivada pelos 
escândalos financeiros que aconteceram com 
empresas de capital aberta, casos como Enron.
• Iniciativa dos congressistas americanos Paul 
Sarbanes e Michael Oxley
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Os objetivos principais desta lei são:
• Proteger os investidores do mercado de capitais 
americano de fraudes contábeis e financeiras de 
companhias abertas;
• Instituir uma série de penalidades contra crimes 
relacionados, em que seu foco está em controle 
interno sobre relatórios financeiros.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• O CEO e o CFO devem revisar os relatórios financeiros.
• Os relatórios não podem conter nenhuma declaração falsa de um 
fato relevante ou omissão, para benefícios de resultados.
• Os sistemas de controle interno sobre emissão de relatórios 
financeiros devem ser projetados sob a supervisão do CEO e CFO.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• Deve ser avaliada a efetividade do sistema de controle sobre a 
emissão de relatórios financeiros.
• Devem ser comunicadas mudanças nos controles internos sobre 
relatórios financeiros, considerando ultimo ano fiscal.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• Devem ser comunicadas deficiências nos sistemas de controle 
interno que possam afetar a habilidade da empresa em registrar, 
processar, sumarizar e comunicar informações financeiras.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• Deve ser comunicada qualquer fraude que envolva a gerência 
ou outros empregados que tenha papel significante nos registros 
internos sobre relatórios financeiros.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• A administração tem a responsabilidade de estabelecer e manter 
uma estrutura adequada de controle interno e procedimento 
para relatório financeiro.
• A administração deve avaliar a efetividade do sistema de 
controle interno sobre relatório financeiro.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• Deve ser realizada uma auditoria externa especifica sobre a 
avaliação interna da efetividade do sistema de controle interno feita 
pela administração.
• O conteúdo da aplicação deve ser apropriado.
• A informação deve estar disponível sempre que for necessária 
(disponibilidade).
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• A informação deve ser a atual ou pelo menos a última 
disponível (Integridade).
• Os dados e as informações estão corretos (Integridade).
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância. 
• A informação é acessível aos usuários interessados 
(disponibilidade).
• Há um sistema de controle interno sobre relatórios 
financeiros que garante todos os demais itens anteriores.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
SOX
Requisitos da SOX que afetam TI:
Para a TI, as seções 302 e 404 da SOX são de suma importância 
• Portanto, praticamente todos os sistemas transacionais de uma 
empresa, relativos a pagamento de pessoal, pagamento de 
benefício pessoal, transações com fornecedores (compras, 
aplicação de recursos financeiros) e clientes (vendas, captação de 
recursos financeiros), com acionistas, com o governo, gestão de 
recursos financeiros, logística de materiais, etc. devem ser 
considerados quando se pensa em atender a SOX.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
O Acordo de Basileia II
• Foi estabelecido pelo Bank International Settlements (BIS), 
sediado na cidade de Basileia (conhecido como o Banco Central 
dos Bancos Centrais). 
• Este acordo estipula requisitos de capital mínimo para 
instituições financeiras em função dos seus riscos de créditos 
operacionais.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
O Acordo de Basileia II
• Além disso, propõe um enfoque mais flexível para a exigência 
de capital e mais abrangente com relação ao fortalecimento da 
supervisão bancária e ao estímulo para maior transparência na 
divulgação das informações ao mercado, baseado em três grandes 
premissas (pilares):
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
O Acordo de Basileia II
Três grandes premissas (pilares) que visam:
• Fortalecimento da estrutura de capitais das instituições.
• Estímulo à adoção das melhores práticas de gestão de riscos.
• Redução da assimetria de informação e favorecimento da 
disciplina de mercado.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
O Acordo de Basileia II
O acordo de Basileia possui três pilares:
• Primeiro:
• Estabelece regras e procedimentos para cálculos dos 
requisitos de capital, tendo em vista os riscos de créditos e 
operacionais, de acordo com a aplicação de abordagens 
distintas de avaliação e mitigação de riscos. 
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
O Acordo de Basileia II
O acordo de Basileia possui três pilares:
• Segundo:
• Estabelece regras para que os Bancos Centrais de cada país 
executem auditorias nas instituições financeiras, visando 
avaliar a aplicação dos métodos de gestão de risco e a 
avaliação e mitigação de riscos de crédito e operacionais, 
assim como a emissão de informações para o mercado acerca 
da exposição do risco da instituição.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
O Acordo de Basileia II
O acordo de Basileia possui três pilares:
• Terceiro:
• Estabelece regras para a comunicação para o mercado dos 
requisitos mínimos de capital face aos riscos e aos métodos e 
resultados de avaliações de riscos, conforme estabelecido no 
primeiro pilar.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Implicações do Acordo de Basileia II em TI
Atualmente o Banco Central do Brasil vem auditando as 
áreas de TI dos bancos através do instrumento (modelo-
framework) denominado COBIT (Control objectives for 
information and related technology);
Desenvolvido e Mantido pela Information Systems Audit
and Control Association – ISACA.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Implicações do Acordo de Basileia II em TI
Do ponto de vista do risco de crédito, o impacto recai sobre:
• A capacidade de armazenamento de dados em face à granularidade 
de informações requeridas de cada cliente, visando avaliar riscos de 
forma mais consistentes.
• A integridade das informações acerca de transações do banco.
• A integridade das informações armazenadas sobre os clientes e 
operações de crédito.
• A segurança dessas informações.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Implicações do Acordo de Basileia II em TI
Do pontode vista do risco de crédito, o impacto recai sobre:
• A contingência das operações.
• O planejamento de capacidade.
• O planejamento de recuperação de desastres.
• A integridade do processo de emissão de relatórios requeridos 
pelo BIs.
• Analogicamente ao que falamos no caso da SOX, em relação ao 
Acordo de Basileia, o CIO ou equivalente deve:
• Inserir questões do Acordo de Basileia em seu plano de 
tecnologia da informação.
• Implantar novos processos de TI.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Implicações do Acordo de Basileia II em TI
Do ponto de vista do risco de crédito, o impacto recai sobre:
• Ajustar ou melhorar os processos existentes.
• Ajustar a estrutura organizacional de TI para acomodar novos 
processos.
• Definir e implantar novos indicadores de desempenho, caso seja 
necessário.
• Tratar a gestão de riscos (planejamento e monitoramento) de TI 
como um processo com identidade própria na organização de TI.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Impacto no Brasil - Resolução 3380 – BACEN
• Em junho de 2006, foi publicada a Resolução 3380 do 
Banco Central do Brasil, que determina que as 
instituições financeiras e demais instituições autorizadas 
a funcionar pelo Banco Central do Brasil implementem 
sua própria estrutura de gerenciamento de risco 
operacional.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Resolução 3380 – BACEN
• Conforme definição na própria resolução, risco 
operacional é a possibilidade de ocorrência de perdas 
resultantes de falha, deficiência ou inadequação de 
processos internos, pessoas e sistemas, ou de eventos 
externos. 
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Impacto no Brasil - Resolução 3380 – BACEN
• No que tange à Tecnologia da Informação, a resolução 
refere-se a falhas em sistemas como riscos operacionais.
• Alguns riscos apontados, como interrupção de atividades 
da instituição e danos a ativos, também podem ser 
originadas pela TI.
• De acordo com esta resolução, deve-se identificar, avaliar, 
monitorar, controlar e mitigar os riscos da instituição.
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Impacto no Brasil - Resolução 3380 – BACEN
• As implicações desta resolução para a TI de uma 
instituição financeira são que ela deve:
• Identificar, avaliar, monitorar, controlar e mitigar os 
riscos operacionais que afetam a instituição (esta 
gestão de riscos deve ser permanentemente 
executada).
Governança de TI
Prof. Dr. Ivanir Costa – Agosto de 2014 
Costa, I; Mollo Neto, M; Costa Neto, P. L. O.; Cardoso Júnior, J. L. Qualidade em Tecnologia da Informação. SP: Atlas, 
2013.
Fernandes, A. A; Abreu, V. F. Implantando a governança de TI. RJ: Brasport, 2012.
Rezende, D. A. A Evolução da TI nos últimos 45 anos. Disponível em: 
http://www.joinville.udesc.br/portal/professores/pfitscher/materiais/Evolu__o_da_TI.pdf. Acesso em: 4 abr. 2013.
Referências Bibliográficas