Artigo

Seção 404 da SOX: Avaliação gerencial dos controles internos

A Seção 404 da Lei Sarbanes-Oxley (SOX) determina que todas as empresas de capital aberto (com algumas exceções) devem implementar controles e procedimentos internos para relatórios financeiros. Cada um dos controles internos estabelecidos pela SOX 404 deve ser documentado, testado, mantido e certificado por uma auditoria independente para confirmar sua eficácia, confiabilidade e precisão. O objetivo da SOX 404 é eliminar fatores de fraude corporativa.

Organizações isentas da conformidade com a SOX 404
– As empresas que não fizeram o processo de declaração acelerada ou empresas com capital aberto inferior a US$ 75 milhões. – Empresas em crescimento emergente ou empresas com receita bruta anual total inferior a US$ 1 bilhão no último ano fiscal por um período de até cinco anos.

Em empresas de capital aberto, o CEO (Chief Executive Officer) e o CFO (Chief Financial Officer) são diretamente responsáveis por qualquer relatório financeiro apresentado à Securities Exchange Commission (SEC). Anualmente, o CEO e o CFO da organização são obrigados a apresentar um relatório anual que avalia o estabelecimento, a manutenção e os testes de eficácia dos controles internos sobre relatórios financeiros.

O CEO e o CFO são responsabilizados pessoalmente e enfrentam penalidades criminais potencialmente severas por violações, incluindo pena de prisão e milhões de dólares em multas. O relatório de controles internos SOX 404 deve incluir:

  • Uma declaração da responsabilidade da administração por estabelecer e manter controles internos adequados sobre os relatórios financeiros.
  • Uma declaração identificando a estrutura usada pela administração para avaliar a eficácia do controle interno.
  • A avaliação da administração sobre a eficácia do controle interno ao final do último ano fiscal da empresa.
  • Uma declaração de que o auditor externo da empresa emitiu um relatório de atestado sobre a avaliação da administração.

Implementação dos controles SOX 404

O que significa “controles internos”?

Os controles internos SOX, também conhecidos como controles internos SOX 404, são regras que previnem e detectam erros no processo de relatórios financeiros de uma organização. Os controles internos SOX 404 devem ser aplicados a todos os processos e sistemas associados aos relatórios financeiros da organização. Estes incluem:

  1. Controle ambiental: Conjunto de normas e processos que são a base para a implementação do controle interno em uma organização.
  2. Avaliação de riscos: Processo para identificar e avaliar riscos que podem prejudicar os objetivos de uma organização.
  3. Atividades de controle: Medidas tomadas para mitigar os riscos identificados.
  4. Informação e comunicação: Fluxo de informações necessárias para dar suporte às funções de controle interno.
  5. Monitoramento: Avaliação contínua do desempenho dos controles internos

A seguir, estão as cinco etapas principais para a implementação dos controles internos SOX 404.

  1. Planejar
  2. Documentar
  3. Testar
  4. Corrigir
  5. Avaliar
  • Crie um plano de projeto.
  • Desenvolva cronogramas.
  • Avalie a relevância e o risco.
  • Defina o escopo das contas, sistemas e processos.
  • Descreva a estratégia de conformidade com a SOX 404.
  • Entreviste os principais responsáveis pelos processos e controles internos existentes.
  • Identifique os principais controles.
  • Realize uma análise das falhas.
  • Recomende melhorias em processos e sistemas.
  • Realize testes de amostra dos principais controles internos.
  • Avalie a eficácia dos testes.
  • Documente as metodologias e as descobertas.
  • Teste os controles para medir o desempenho.
  • Crie soluções para resolver as falhas e as deficiências.
  • Implemente as soluções.
  • Documente as conclusões.
  • Reavalie a relevância e o risco.
  • Documente todas as questões pendentes.

Teste e auditoria da SOX 404

O teste e a auditoria dos controles internos da SOX 404 podem ser complexos e demorados, pois incluem todos os ativos de TI de uma organização e todos os dispositivos que tenham acesso a dados financeiros.

Áreas de foco da auditoria da SOX 404

Uma auditoria de controles internos SOX 404 concentra-se em quatro áreas principais.

Controle de acesso: Esta área de uma auditoria SOX 404 avalia os sistemas e os processos usados para restringir o acesso a informações confidenciais, a fim de garantir que apenas usuários autorizados tenham acesso físico e digital. Os controles digitais incluem barreiras de acesso digital, como gerenciamento de identidade e acesso, autenticação e criptografia. Os controles de acesso físico incluem crachás, fechaduras e vigilância por vídeo.

Segurança de TI: Os controles de segurança de TI considerados para uma auditoria de controles internos SOX 404 incluem as medidas tomadas para identificar e proteger dados confidenciais de ataques cibernéticos. Esta área abrange as atividades realizadas para monitorar e detectar ataques cibernéticos, bem como planos de resposta para mitigar danos e se recuperar em tempo hábil.

Backup de dados: Uma auditoria SOX 404 avalia os sistemas e os planos de backup e recuperação de dados para determinar sua eficácia na minimização do tempo de inatividade e da perda de dados em caso de desastre. A conformidade com a SOX 404 exige que tanto os sistemas de produção quanto os de backup que lidam com dados financeiros atendam aos padrões.

Gestão de mudanças: A forma como uma organização gerencia as mudanças em seu ambiente de TI é avaliada como parte de uma auditoria de controles internos SOX 404. Isso inclui a integração de funcionários, a instalação de novas infraestruturas, atualizações de hardware e software e alterações de configuração. Todas as alterações devem ser registradas e todas as alterações consideradas confidenciais devem ser monitoradas para detectar qualquer vulnerabilidade.

Testes SOX 404

O processo de testes de controles internos SOX 404 consiste em quatro etapas. Muitas delas ocorrem ao longo do ano, com alguns controles internos sendo realizados ao longo do ano.

  1. Avaliação inicial
  2. Testes intermediários
  3. Testes de fim de ano
  4. Testes por auditores independentes

O que é a estrutura COSO?

A estrutura mais comumente utilizada para implementações de controles internos da SOX 404 é a Estrutura Integrada de Controle Interno, desenvolvida em 2013 pelo Comitê de Organizações Patrocinadoras (COSO, Committee of Sponsoring Organizations) da Comissão Treadway em conjunto com cinco organizações do setor privado.

  1. Financial Executives International (FEI)
  2. The American Accounting Association (AAA)
  3. The American Institute of Certified Public Accountants (AICPA)
  4. The Institute of Internal Auditors (IIA)
  5. The Institute of Management Accountants (IMA)

Essa estrutura abrangente detalha os controles internos que devem ser implementados para a conformidade com a SOX 404. A maioria deles é obrigatória e a não implementação pode levar uma organização a violar os requisitos da SOX 404.

Embora a estrutura de controle interno do COSO seja voluntária, suas diretrizes de conformidade com a SOX 404 garantem que as organizações tenham a infraestrutura e os sistemas de segurança necessários ou identifiquem falhas negligenciadas que devem ser corrigidas para manter a conformidade. Além disso, a maioria dos auditores baseia suas análises nas capacidades de controle interno das organizações na estrutura COSO.

A estrutura COSO baseia-se em 17 princípios que se alinham aos cinco componentes de controle interno exigidos pela SOX 404. Eles informam o que é necessário para demonstrar a conformidade com os requisitos da SOX 404 a um auditor independente.

Componentes de controle interno da SOX 404

17 princípios da estrutura COSO

Ambiente de controle

1. Demonstrar compromisso com a integridade e os valores éticos.
2. Garantir que o conselho seja independente e exerça responsabilidade de supervisão.
3. Estabelecer estrutura, autoridade, linhas de subordinação e responsabilidade.
4. Demonstrar compromisso em atrair, desenvolver e reter uma força de trabalho competente.
5. Aplicar a responsabilização em toda a organização.

Avaliação de riscos

6. Especificar objetivos específicos e apropriados.
7. Identificar e analisar riscos.
8. Avaliar o risco de fraude.
9. Identificar e analisar mudanças significativas que possam afetar os controles internos.

Atividades de controle

10. Selecionar e desenvolver atividades de controle interno que ajudem a mitigar riscos.
11. Selecionar e desenvolver controles sobre tecnologia.
12. Manter e aplicar controles internos com políticas e procedimentos completos.

Informação e comunicação

13. Usar informações relevantes e de alta qualidade para apoiar a execução dos controles internos.
14. Comunicar internamente informações de controle interno.
15. Comunicar externamente informações de controle interno.

Monitoramento

16. Realizar avaliações contínuas e/ou periódicas dos controles internos.
17. Avaliar e comunicar deficiências de controle interno.

SOX 404: Uma oportunidade para melhorar os relatórios financeiros

A conformidade com a SOX 404 pode ser complexa e exaustiva. No entanto, não precisa ser difícil. Implementar e seguir os processos corretos e as práticas recomendadas ajuda a aliviar todo o trabalho de manter a conformidade com a SOX 404 e fornece melhores relatórios financeiros.

Data: 11 de setembro de 2025Tempo de leitura: 6 minutos
Conformidade

Introdução

Veja o que o SailPoint Identity Security pode fazer pela sua organização

Descubra como nossas soluções permitem que as empresas modernas da atualidade enfrentem o desafio de garantir acesso seguro aos recursos sem comprometer a produtividade ou a inovação.

Solicitar uma demonstraçãoContato