Artigo

O que é conformidade com a SOX? Guia completo

O que é conformidade com a SOX?

A conformidade com a SOX refere-se à conformidade com a Lei Sarbanes-Oxley (SOX), uma lei federal dos EUA que foi promulgada em 2002 para proteger investidores e clientes de práticas corporativas fraudulentas.

Os requisitos de conformidade com a SOX garantem a precisão dos relatórios financeiros das empresas, melhoram as divulgações financeiras e coíbem erros contábeis e práticas fraudulentas nas empresas. A lei recebeu o nome de seus patrocinadores norte-americanos, o senador Paul Sarbanes (D-MD) e o representante Michael G. Oxley (R-OH).

As empresas são obrigadas a realizar auditorias de conformidade regulatória financeira anualmente, sendo essas auditorias realizadas por auditores independentes autorizados.

Como parte das auditorias, são avaliadas as demonstrações financeiras e os controles internos das empresas. O diretor executivo (CEO) e o diretor financeiro (CFO) são obrigados a assinar declarações que atestem a veracidade de todas as informações apresentadas.

Atender aos requisitos de conformidade com a SOX não é apenas uma obrigação legal, mas também uma prática comercial recomendada. Todas as organizações devem comportar-se de forma ética e limitar o acesso aos seus dados financeiros. A conformidade com a Lei Sarbanes-Oxley tem o benefício adicional de ajudar as organizações a manter dados confidenciais protegidos contra ameaças internas, ataques cibernéticos, e violações de segurança.

Os 11 títulos da SOX

A Lei Sarbanes-Oxley é composta de onze títulos. As seções de cada título detalham o que é exigido para o cumprimento das obrigações regulatórias. Abaixo, apresentamos um índice da Lei, com a descrição das seções que têm maior impacto nas empresas.

Título I: Conselho de Vigilância de Contabilidade de Empresas Públicas (PCAOB)

Título I: estabelece o Conselho de Vigilância de Contabilidade de Empresas Públicas (PCAOB) e explica como ele atua na supervisão independente de empresas de contabilidade de capital aberto que prestam serviços de auditoria. Cria, ainda, um conselho de supervisão de menor porte, responsável por registrar auditores, definir os processos e os procedimentos específicos de auditorias de conformidade, inspecionar e policiar a conduta e o controle de qualidade e fazer cumprir as instruções específicas da SOX.

Seção 101. Criação; disposições administrativas Seção 102. Registro perante o Conselho Seção 103. Padrões e regras de auditoria, controle de qualidade e independência Seção 104. Inspeções de empresas de auditoria registradas Seção 105. Investigações e processos disciplinares Seção 106. Empresas de auditoria estrangeiras Seção 107. Supervisão do Conselho pela Comissão Seção 108. Padrões contábeis Seção 109. Financiamento

Título II: Independência do Auditor

O Título II estabelece os padrões de independência dos auditores externos, com o objetivo de mitigar conflitos de interesse. Ele também orienta sobre novos requisitos de aprovação de auditores, rotatividade de sócios de auditoria e exigências para relatórios de auditoria.

Além disso, o Título II institui a separação de funções para os auditores, ao restringir que uma mesma firma realize auditorias e preste serviços não relacionados à conformidade com a Lei Sarbanes-Oxley.

  • Seção 201. Serviços fora do escopo da atuação dos auditores 
  • Seção 202. Requisitos de aprovação prévia 
  • Seção 203. Rotatividade de sócios de auditoria 
  • Seção 204. Relatórios de auditoria para comitês de auditoria 
  • Seção 205. Emendas de conformidade Seção 206. Conflitos de interesse
  • Seção 207. Estudo sobre a rotatividade obrigatória de empresas de auditoria registradas 
  • Seção 208. Autoridade da comissão 
  • Seção 209. Considerações pelas autoridades reguladoras estaduais competentes

Título III: Responsabilidade Corporativa

O Título III define as responsabilidades dos executivos seniores, assumindo especificamente a responsabilidade individual pela precisão e a integridade dos relatórios financeiros corporativos. Também detalha a interação entre auditores externos e comitês de auditoria corporativos, especificando a responsabilidade dos diretores estatutários pela precisão e a validade dos relatórios financeiros corporativos.

Esta parte da legislação SOX também define as perdas específicas de benefícios e as penalidades pelo descumprimento.

  • Seção 301. Comitês de auditoria de empresas de capital aberto 
  • Seção 302. Responsabilidade corporativa pelos relatórios financeiros. São destaques da Seção 302:
  • Empresas de capital aberto devem protocolar relatórios financeiros perante a SEC.
  • Os CEOs e CFOs devem certificar que revisaram o relatório apresentado e que ele “não contém declarações falsas”.
  • Os diretores signatários devem atestar que os controles internos estão implementados e que foram eficazes nos 90 dias que antecederam o relatório, para garantir que qualquer informação fornecida pela empresa seja precisa e acessível aos auditores.
  • Quaisquer “deficiências” no projeto ou na operação desses controles internos foram identificadas e comunicadas aos auditores.
  • Os auditores devem ser informados sobre quaisquer alterações feitas nos controles internos após a apresentação do relatório.
  • Seção 303. Influência indevida na condução de auditorias: Proíbe “qualquer ação para influenciar, coagir, manipular ou enganar de forma fraudulenta qualquer contador público independente ou certificado envolvido na execução de uma auditoria das demonstrações financeiras desse emissor com o propósito de tornar tais demonstrações financeiras materialmente enganosas”.
  • Seção 304. Perda de certos bônus e lucros
  • Seção 305. Inabilitação de diretores e conselheiros e penalidades 
  • Seção 306. Negociações com informações privilegiadas durante períodos de suspensão de fundos de pensão
  • Seção 307. Regras de responsabilidade profissional para advogados 
  • Seção 308. Fundos de restituição para investidores

Título IV: Divulgações Financeiras Aprimoradas

O Título IV explica os requisitos de relatório para conformidade corporativa em transações financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações de diretores estatutários. Também especifica os controles internos necessários à validação da exatidão dos relatórios e divulgações financeiras, além de determinar a obrigatoriedade de auditorias e relatórios sobre esses controles.

  • Seção 401. Divulgação em relatórios periódicos: Reitera que os relatórios de conformidade com a SOX não podem conter declarações enganosas, declarações falsas ou erros factuais. Também estabelece a exigência de preparação de relatórios financeiros de acordo com os princípios contábeis geralmente aceitos (GAAP). 
  • Seção 402. Disposições aprimoradas sobre conflitos de interesse
  • Seção 403. Divulgações de transações envolvendo a administração e os principais acionistas
  • Seção 404. Avaliação da administração sobre os controles internos: É amplamente considerada a mais complicada, difícil e dispendiosa de implementar, pois ela:
  • Determina que a administração estabeleça uma “estrutura e procedimentos de controle interno adequados para relatórios financeiros”.
  • Estabelece que a administração é responsável por avaliar a eficácia desses controles e procedimentos durante o exercício fiscal mais recente.
  • Exige que cada empresa de auditoria registrada prepare ou emita o relatório de auditoria ateste e relate a avaliação feita pela administração.
  • Seção 405. Isenção
  • Seção 406. Código de ética para executivos financeiros seniores 
  • Seção 407. Divulgação do especialista financeiro no comitê de auditoria 
  • Seção 408. Revisão aprimorada das divulgações periódicas pelos emissores 
  • Seção 409. Divulgações em tempo real pelos emissores: Estipula que as empresas devem informar imediatamente ao público quaisquer alterações relevantes em sua situação financeira ou operações, incluindo divulgação de violações de dados ou outras formas de ataques cibernéticos.

Título V: Conflitos de Interesse de Analistas

O Título V consiste em apenas uma seção desenvolvida para ajudar a restaurar a confiança dos investidores nos relatórios dos analistas de valores mobiliários, definindo os códigos de conduta e exigindo a divulgação de conflitos de interesses que sejam passíveis de identificação.

Seção 501. Gestão de analistas de valores mobiliários por associações de valores mobiliários registradas e bolsas de valores nacionais.

Título VI: Recursos e Autoridade da Comissão

O Título VI define práticas para a restauração da confiança dos investidores em analistas de valores mobiliários. Também reforça que a SEC tem autoridade para censurar ou impedir profissionais de valores mobiliários de exercerem suas atividades.

  • Seção 601. Autorização de dotações
  • Seção 602. Comparecimento e prática perante a Comissão 
  • Seção 603. Autoridade do tribunal federal para impor impedimentos em ações de baixo valor (penny stocks) 
  • Seção 604. Qualificações de pessoas associadas a corretores e distribuidores

Título VII: Estudos e Relatórios

O Título VII especifica os requisitos para que o Controlador-Geral e a Securities and Exchange Commission (SEC, Comissão de Valores Mobiliários) norte-americana realizem vários estudos e relatem suas conclusões.

  • Seção 701. Estudo e relatório do General Accounting Office (GAO) sobre a consolidação de empresas de auditoria 
  • Seção 702. Estudo e relatório da Comissão sobre agências de avaliação de crédito 
  • Seção 703. Estudo e relatório sobre infratores e infrações 
  • Seção 704. Estudo das ações de execução 
  • Seção 705. Estudo sobre bancos de investimento

Título VIII: Responsabilidade por Fraude Corporativa e Criminal

O Título VIII também é conhecido como “Lei de Responsabilidade por Fraude Corporativa e Criminal de 2002”. Enumera as sanções penais por manipulação, destruição ou alteração de registros financeiros ou outras interferências nas investigações. Estabelece, ainda, algumas proteções para denunciantes.

  • Seção 801. Título abreviado
  • Seção 802. Sanções penais por alteração de documentos: Estabelece que qualquer pessoa que, conscientemente, altere, destrua ou falsifique registros enfrente multas substanciais, prisão ou ambos. Estipula, ainda, que todos os documentos de auditoria ou revisão devem ser retidos por um período de cinco anos após a auditoria, incluindo registros eletrônicos e não eletrônicos. A inobservância dessas exigências pode resultar em multas, prisão ou ambos. 
  • Seção 803. Dívidas não exigíveis se incorridas em violação das leis de fraude de valores mobiliários 
  • Seção 804. Prazo de prescrição para fraude de valores mobiliários
  • Seção 805. Revisão das Diretrizes Federais de Sentença para obstrução de justiça e fraude criminal extensa
  • Seção 806. Proteção para funcionários de empresas de capital aberto que forneçam provas de fraude: Concentra-se nos denunciantes. Ela especifica que a Lei Sarbanes-Oxley protege os funcionários e executivos de uma empresa que apoiem uma investigação, apresentem informações, prestem depoimento em uma investigação ou façam com que informações sobre a fraude financeira de uma empresa sejam divulgadas. Os funcionários são protegidos contra a perda de seus cargos e contra assédio, rebaixamento, suspensão ou qualquer outra discriminação. Esta seção também descreve violações compensatórias. 
  • Seção 807. Sanções penais por fraude a acionistas de empresas de capital aberto.

Título IX: Aumento de Penas para Crimes de “Colarinho Branco”

O Título IX também é chamado de “Lei de Agravamento de Penas para Crimes de Colarinho Branco de 2002”. O aumento das sanções penais associadas a crimes de colarinho branco e conspirações são apresentados, juntamente com recomendações para sentenças estendidas. Esta seção também considera crime a falha na certificação de relatórios financeiros corporativos.

  • Seção 901. Título abreviado. 
  • Seção 902. Tentativas e conspiração para cometer crimes de fraude: Estabelece que “qualquer pessoa que tentar ou conspirar para cometer qualquer crime nos termos deste capítulo estará sujeita às mesmas sanções que as prescritas para o crime”. 
  • Seção 903. Sanções penais para fraude postal e eletrônica 
  • Seção 904. Sanções penais por violações da Lei de Segurança da Renda de Aposentadoria de Funcionários de 1974 
  • Seção 905. Emenda às diretrizes de sentença relacionadas a certos crimes do colarinho branco 
  • Seção 906. Responsabilidade corporativa por relatórios financeiros: Também abrange sanções penais, incluindo multas e prisão, para funcionários que apresentem relatórios falsos ou enganosos em violação da Lei. Os indivíduos que podem ser responsabilizados incluem contratados, funcionários, agentes e executivos.

Título X: Declarações de Imposto Corporativo

O Título X contém apenas uma seção. A Seção 1001 estabelece que o diretor executivo deve assinar a declaração de imposto de renda da empresa.

Seção 1001. Entendimento do Senado quanto à assinatura das declarações de imposto de renda corporativas por diretores executivos.

Título XI: Responsabilidade por Fraude Corporativa

O Título XI consiste em sete seções. A Seção 1101 recomenda que este título seja denominado “Lei de Responsabilidade por Fraude Corporativa de 2002”. Ele identifica as fraudes corporativas e a adulteração de registros como crimes e associa esses crimes a sanções específicas. Também altera as diretrizes de sentença e reforça suas sanções.

Isso permite que a SEC recorra ao congelamento temporário de transações ou pagamentos considerados “vultosos” ou “atípicos”. Também criou o crime de obstrução de processo oficial.

  • Seção 1101. Título abreviado
  • Seção 1102. Adulteração de registro ou impedimento de processo oficial por outros meios 
  • Seção 1103. Autoridade de congelamento temporário para a Securities and Exchange Commission (SEC) 
  • Seção 1104. Emenda às Diretrizes Federais de Sentença 
  • Seção 1105. Autoridade da Comissão para proibir pessoas de servir como diretores ou conselheiros
  • Seção 1106. Aumento das sanções penais sob a Lei de Valores Mobiliários de 1934
  • Seção 1107. Retaliação contra informantes Isto reforça a proteção aos denunciantes, estabelecendo sanções penais federais de multa ou prisão de até dez anos por qualquer retaliação contra um informante.

Uma breve história da SOX

Após uma onda de atividades fraudulentas levadas a cabo por grandes empresas na virada do século XXI, reguladores governamentais sucumbiram à pressão a favor da proteção aos acionistas.

A Lei Sarbanes-Oxley nasceu do esforço de eliminar brechas contabilísticas e relatórios financeiros deficientes, responsáveis por falências empresariais que custaram bilhões de dólares aos investidores e impactaram a confiança do público nos mercados de valores mobiliários dos EUA.

O projeto de lei foi aprovado por esmagadora maioria na Câmara dos Deputados e no Senado norte-americano (ou seja, aprovado na Câmara por 423 votos a favor, 3 contra e 8 abstenções, além de uma votação de 99 a favor e 1 abstenção no Senado).

Ao sancionar a Lei, o presidente George W. Bush afirmou que se tratava das “reformas mais abrangentes das práticas empresariais americanas desde a era de Franklin D. Roosevelt. A era dos baixos padrões e falsos lucros acabou; nenhuma sala de diretoria na América está acima ou fora do alcance da lei”.

Harvey Pitt, o 26º presidente da SEC, liderou a adoção das regras de conformidade com a SOX. Ele criou o Conselho Supervisor Contábil de Companhias de Capital Aberto (PCAOB), para fazer cumprir os requisitos da Lei. O PCAOB supervisiona, regula, inspeciona e disciplina empresas de contabilidade em suas funções como auditores de companhias de capital aberto.

Por que a empresa precisa estar em conformidade com a SOX

Atender aos requisitos de conformidade da Lei Sarbanes-Oxley é mais que cumprir uma obrigação legal. Seguir as regras estabelecidas é uma prática comercial recomendada.

A Lei estabelece uma estrutura que ajuda as empresas a se comportarem de forma ética e a protegerem seus dados financeiros e demais dados confidenciais. Outras maneiras pelas quais a conformidade com a SOX ajuda as empresas compreendem:

Consolidação da estrutura de controle

Ao aderir aos requisitos de conformidade para documentação de controles, incluindo manuais de operações, políticas de pessoal e processos de controle registrados, as empresas observam melhorias na produtividade. Isso ocorre porque muitas organizações encontram deficiências significativas na documentação. Elevá-las aos níveis de maior exigência de conformidade regulatória financeira corrige erros e omissões que beneficiam as operações como um todo.

Auditorias eficientes

Na maioria das empresas de capital aberto, a conformidade com a Lei Sarbanes-Oxley está sob a alçada do comitê de auditoria ou da diretoria executiva, que também são os patrocinadores executivos dos esforços de conformidade com a Lei. Por causa da ampla visão de gerenciamento de riscos e relatórios que esse grupo deve adotar para a conformidade com a SOX, eles usam o peso de suas posições para pressionar por melhorias nos processos que elevem a prontidão para auditoria da organização.

Dessa forma, a conformidade com a Lei promove processos mais eficazes e eficientes, que por sua vez agilizam os processos de auditoria, reduzindo o tempo e o custo para concluí-los.

Melhoria de relatórios financeiros

Os elevados padrões de relatórios financeiros exigidos pela Lei Sarbanes-Oxley geram benefícios que superam a simples aprovação em auditorias. Como a lei obriga a implementação de controles internos detalhados para validar todas as informações financeiras e contas significativas, eventuais falhas relevantes acabam sendo identificadas e corrigidas prontamente.

Após a SOX, as empresas passaram a contar com relatórios financeiros mais eficientes e confiáveis, o que significa que menos tempo é necessário para coletar dados e realizar correções.

Priorização de riscos

Os requisitos de conformidade regulatória financeira ajudam as organizações a decidir em que sistemas se concentrar, direcionando avaliações de risco capazes de esclarecer a exposição ao risco e os controles existentes. Os esforços podem ser mais concentrados quando sistemas que não precisam ser compatíveis com a SOX forem retirados da lista.

Como os requisitos são, em muitos casos, mais rigorosos que as regras corporativas, o cumprimento das normas gera uma forte postura de segurança.

Simplificação das operações

A conformidade com a Lei Sarbanes-Oxley ajuda as empresas, melhorando a eficiência dos processos e das finanças. As empresas que devem aderir aos requisitos de conformidade com a SOX obtêm documentação aprimorada, processos de negócios e de TI otimizados e custos de auditoria reduzidos ao mínimo.

Quem deve cumprir a SOX

A conformidade com essa Lei tem um amplo alcance, mas empresas privadas, instituições de caridade e organizações sem fins lucrativos geralmente não precisam cumpri-la em sua totalidade. Entre as entidades que são obrigadas a aderir aos requisitos estão:

  • Companhias de capital aberto;
  • Subsidiárias integrais;
  • Empresas estrangeiras que têm ações negociadas no mercado de capitais e conduzem negócios nos EUA;
  • Empresas privadas que planejam sua oferta pública inicial (IPO);
  • Empresas de contabilidade que auditam empresas de capital aberto;
  • Empresas de contabilidade e auditoria.

Benefícios da conformidade com a SOX

  • Aumento da segurança: As exigências de redução de riscos e de proteção de dados aumentam a segurança como um todo em empresas que requerem conformidade com a Lei Sarbanes-Oxley.
  • Controles internos aprimorados: A conformidade serve de base às empresas para a compreensão dos padrões de controle interno que protegem seus dados e seus negócios.
  • Erradicação de conflitos de interesse contábeis: A SOX determina que a firma que cuida das auditorias não pode ser a mesma que cuida do trabalho contábil.
  • Melhoria da gestão de riscos: A conformidade permite processos que mantêm as empresas focadas em prioridades de alto risco e nos controles empresariais mais apropriados para corrigi-las, incluindo integração de TI e segurança em departamentos isolados.
  • Minimização de erros humanos por meio da automação de processos: Controles automatizados substituem processos manuais propensos a erros, minimizando bastante os erros, aumentando a eficiência e reduzindo a necessidade de testes de controles.
  • Previsibilidade financeira: Controles, testes, automação e eficiências operacionais melhoraram a visibilidade e tornaram mais fácil para as empresas preverem suas finanças.
  • Redução da complexidade contábil: Em vez de adotarem práticas contábeis diversas, empresas migram para um sistema centralizado e seguem as práticas recomendadas a fim de simplificar processos que lhes permitem realizar auditorias com mais rapidez e menos erros.
  • Mais tranquilidade nas operações: As melhorias na documentação proporcionam clareza nas descrições de cargos e definições exatas de quem é responsável por quais processos de negócios, o que agiliza a integração de novos colaboradores e ajuda os funcionários a entender melhor as operações e como elas são realizadas.
  • Padronização de processos: Como processos padronizados são mais fáceis e rápidos de avaliar como parte integrante de uma auditoria de conformidade com a SOX, muitas empresas padronizaram processos em todos os sistemas, o que as ajudou a economizar tempo e a se destacar nas auditorias.
  • Simplificação de auditorias: A conformidade atribui a equipes de auditoria interna responsabilidades mais específicas quanto aos relatórios SOX, à documentação de dados e aos testes de controle.

Desafios de conformidade com a SOX

  • Cumprir a Lei significa um encargo financeiro excedente que não está diretamente relacionado aos resultados do negócio.
  • Elaborar e implantar uma estrutura de controle interno voltada à conformidade pode ser complexo e sobrecarregar os recursos da empresa.
  • Estabelecer novos controles internos, construir processos de tratamento de informações financeiras e confirmar a precisão dos relatórios para atender aos critérios de conformidade com a SOX é uma tarefa onerosa.
  • A contratação de novos funcionários e prestadores de serviços como suporte a processos de conformidade é demorada e cara.
  • É difícil implementar controles para transações não recorrentes ou irrelevantes, avaliar os controles existentes e responder a deficiências e fragilidades significativas.
  • Os custos aumentam à medida que aumenta o número de empresas de auditoria e contabilidade.
  • A separação de funções contábeis geralmente requer novos membros na equipe.

Requisitos de conformidade com a SOX

Em linhas gerais, podem-se resumir os requisitos de conformidade com a Lei Sarbanes-Oxley em um processo de quatro etapas:

Fornecer à SEC demonstrações financeiras que foram auditadas por terceiros, que não podem ser a mesma empresa que cuida da contabilidade.

Comunicar alterações significativas ao público em tempo hábil, conforme definido nos requisitos de conformidade com a SOX.

Projetar, implementar e testar controles internos em sistemas de TI a fim de garantir a segurança dos dados financeiros.

Gerar um demonstrativo anual que divulgue os controles internos e sua adequação, o qual deve ser ratificado pela diretoria executiva e auditado por terceiros.

Auditorias de conformidade com a SOX

Quatro itens principais compõem as auditorias de conformidade com a Lei: controle de acesso, gestão de mudanças, backup de dados e segurança de TI.

Controle de acesso

As organizações devem dispor de controles que garantam que informações confidenciais só possam ser acessadas e visualizadas por usuários autorizados. Os controles de acesso devem abranger o acesso físico (portas, gavetas de arquivos, etc.) e o acesso eletrônico (credenciais de login, etc.).

Leia também: Acesso seguro aos dados na era da IA [INFOGRÁFICO]

Gestão de mudanças

Devem existir processos definidos para a adição e remoção de usuários, conteúdos e dispositivos, bem como para a instalação e atualização de softwares. Uma trilha de auditoria de quem fez a alteração, o que foi alterado e quando a alteração foi feita também deve ser registrada e salva.

Backup de dados

Devem existir sistemas para garantir que todos os registros financeiros e outros dados confidenciais sejam copiados – no local e fora dele – usando sistemas de armazenamento apropriados.

Segurança de TI

As empresas devem validar que sabem exatamente quem tem acesso a quais dados e recursos. Além disso, devem demonstrar que possuem as ferramentas adequadas à proteção dos dados e à prevenção de sua violação.

Implementação de conformidade com a SOX

Do ponto de vista da TI, devem estar em vigor os seguintes controles que permitem a conformidade com a Lei Sarbanes-Oxley:

  • Controle de acesso
  • Sistemas de backup
  • Gestão de mudanças
  • Segurança e segurança cibernética
  • Separação de funções

Além disso, estas atividades também devem ser monitoradas, registradas e auditadas:

  • Atividade da conta
  • Atividade de banco de dados
  • Acesso à informação
  • Atividade interna
  • Atividade de login
  • Atividade de rede
  • Atividade do usuário

Principais etapas para a implementação da conformidade com a SOX

A implementação pode ser realizada de forma eficiente e eficaz seguindo estas etapas:

Estabelecer um comitê de conformidade

  • Formado obrigatoriamente por CEO, CFO e gestores das principais unidades de negócios.
  • São membros recomendados os executivos de áreas funcionais (de finanças, TI, departamento jurídico, recursos humanos, etc.).

Avaliar os riscos

  • Identifique os tipos e o escopo dos riscos nas diretrizes de risco do Conselho.
  • Avalie os riscos de âmbito corporativo da organização, entre eles:
    • Riscos financeiros
    • Risco de capital humano
    • Riscos legais e regulatórios
    • Riscos operacionais
    • Riscos estratégicos
    • Riscos tecnológicos
  • Quantifique cada risco (ou seja, probabilidade, escopo, impacto potencial).
  • Documente o cenário de riscos para identificar inter-relações.
  • Desenvolva um plano de gerenciamento de risco.

Estabelecer diretrizes para controles

  • Defina as regras para a tomada de decisão e os objetivos de prestação de contas no enfrentamento de riscos.
  • Corretivos
  • Investigativos
  • Preventivos
  • Estabeleça objetivos de controle interno nas áreas de Serviços empresariais e Sistemas e recursos

Desenvolver um plano de implementação

  • Articule as etapas de transição da fase de projeto/planejamento para a fase de produção, visando à sustentação das operações contínuas do dia a dia.
  • Certifique-se de que os funcionários tenham o que precisam para executar os controles internos.
  • Identifique os fatores que interferem na devida execução dos métodos de controle interno.

Comunicar os procedimentos em andamento

  • Explique por que os procedimentos existem.
  • Certifique-se de que eles estejam bem definidos.
  • Identifique especialistas no assunto para responder a perguntas.

Fornecer treinamento

  • Garanta a formação e os recursos necessários aos funcionários, visando à manutenção da conformidade com a Lei.
  • Aproveite componentes internos e externos.

Documentar os processos de gestão de riscos

  • Desenvolva documentos para todos os controles.
  • Forneça subsídios que fundamentem as razões para a adoção dos controles.
  • Elabore descrições detalhadas e análises de controles voltadas à preparação de auditorias futuras.

Realizar avaliações frequentes

  • Certifique-se de que os controles estejam funcionando em conformidade com o projeto.
  • Implemente sistemas para a detecção precoce de problemas.
  • Sempre que necessário, faça atualizações para manter a conformidade.

Outros países além dos EUA têm requisitos de conformidade com a SOX?

Após a aprovação da Lei Sarbanes-Oxley, seus princípios foram codificados em lei em vários países, entre eles:

  • Canadá (2002)
  • Alemanha (2002)
  • Holanda (2004)
  • Turquia (2002)
  • Turquia (2002)
  • Israel (2006)
  • África do Sul (2002)
  • França (2003)
  • Austrália (2004)
  • Índia (2015)
  • Itália
  • Japão
  • Reino Unido

Lista de verificação de conformidade com a SOX

Abaixo, seguem as perguntas recomendadas para uma lista de verificação básica de conformidade com a SOX, que abrangem os principais sistemas e processos.

Cada organização tem seus próprios requisitos, mas isso ajudará as equipes a se orientar em torno de diversas áreas importantes e a identificar áreas adjacentes, considerando as perguntas conforme sua relevância.

Sistemas de backup

  • Existem documentos e políticas devidamente estabelecidos que regem os sistemas de backup?
  • Os recursos de restauração são submetidos a testes regulares?
  • Que sistemas de validação existem para demonstrar que os backups são precisos e à prova de falsificação?

Controle de acesso a dados

  • São exigidas credenciais de login exclusivas, com senhas fortes?
  • Os usuários podem compartilhar credenciais?
  • É possível realizar o rastreamento das sessões na rede, vinculando-as de forma individualizada aos respectivos usuários?
  • Qual é o processo de atualização dos privilégios de acesso quando um usuário muda de função ou é desligado da organização?
  • Que tecnologias foram implementadas para o monitoramento de logins e a detecção de tentativas de acesso suspeitas em sistemas que processam dados financeiros?
  • Quem tem acesso a dados financeiros confidenciais?

Relatórios de registros financeiros e de negócios

  • Existem sistemas devidamente estabelecidos para o registro e aplicação de carimbos de data e hora às atividades relacionadas a dados relevantes para a conformidade com a SOX?
  • Os registros permitem buscas e filtragens voltadas à criação de relatórios personalizados?
  • Onde esses registros são armazenados? Eles possuem controles que impeçam sua adulteração?
  • Os sistemas atuais permitem a recuperação de dados provenientes de vários repositórios, incluindo arquivos, protocolos de transferência de arquivos (FTP) e bancos de dados?
  • São mantidos registros referentes à identidade de quem acessou ou modificou os dados?

Respostas a violações de segurança

  • Existem sistemas de segurança devidamente estabelecidos que realizem o monitoramento e a análise de dados, identifiquem sinais de violação da segurança, emitam alertas e enviem atualizações automáticas a um sistema de gerenciamento de incidentes?
  • Há algum plano de incidentes formalizado e uma equipe preparada para a sua execução?
  • De que forma são gerenciados os ataques cibernéticos (phishing, ransomware, etc.)?
  • Existe algum plano voltado à divulgação de violações de segurança e de falhas de controles de segurança aos auditores?
  • Que sistemas estão em funcionamento para o registro de violações de segurança e para permitir que a equipe registre a resolução dos incidentes?
  • Quais são os processos referentes ao escalonamento dos incidentes?

Separação de funções

  • As funções dos funcionários estão claramente definidas e eles compreendem seus parâmetros de atuação?
  • Existem protocolos estabelecidos que garantam a adequada separação de funções (ex.: impossibilidade de um mesmo usuário apresentar uma fatura e aprová-la)?
  • Existem sistemas voltados à prevenção e detecção de fraudes (apropriação indébita, etc.)?
  • A organização segue o princípio do privilégio mínimo?

Armazenamento

  • Caso os dados sejam armazenados na nuvem, o nível de serviço atende aos requisitos de conformidade?
  • Existe um plano de gerenciamento de dados que estabeleça diretrizes relativas à retenção, proteção, acesso e destruição de dados?

Verificação de medidas de segurança

  • Existem sistemas operacionais que forneçam atualizações diárias aos principais stakeholders da organização, assegurando que todas as medidas de controle de conformidade com a SOX estejam em perfeito funcionamento?
  • Os relatórios podem ser disponibilizados a auditores e terceiros em formato de “apenas leitura”, impossibilitando alterações?
  • De que forma as medidas de segurança de conformidade são testadas, verificadas e divulgadas aos auditores?
  • Como são elaborados os relatórios referentes a mensagens e alertas críticos, bem como a incidentes de segurança e ao respectivo tratamento dado a eles?

Soluções de conformidade com a SOX

Existem diversas soluções voltadas à sustentação da conformidade com a Lei Sarbanes-Oxley nas empresas. Entre os tipos amplamente utilizados, destacam-se:

  • Software de gerenciamento de acesso: Utilizado para a proteção de redes por meio da limitação do acesso externo e do gerenciamento de usuários internos, visando impedir o acesso interno não autorizado.
  • Solução de backup automatizado: No caso de um desastre ou outra causa de perda de dados, essas soluções garantem a disponibilidade de cópias de aplicativos e dados.
  • Software de transferência de arquivos: Utilizado para proteger transferências de dados, empregando criptografia para assegurar arquivos em trânsito, além de aplicar regras relativas ao que pode ser acessado e compartilhado.
  • Software de gerenciamento de logs: Rastreia e registra o acesso a sistemas e arquivos visando fornecer uma trilha de auditoria e alertar os administradores caso alguma atividade incomum seja detectada.
  • Software de conformidade com a SOX: São soluções que realizam varreduras em busca de ameaças à segurança e as sinalizam, rastreiam dados e geram relatórios.

Riscos elevados pelo descumprimento da Lei Sarbanes-Oxley

Os riscos associados ao não atendimento dos requisitos de conformidade com a governança financeira são elevados e acarretam responsabilidades pessoais para os executivos.

Um CEO ou CFO que apresente deliberadamente documentação imprecisa durante uma auditoria de conformidade com a SOX pode ser condenado a até 20 anos de prisão, multado em até cinco milhões de dólares, ou ambos.

É fundamental ressaltar que, no que tange à conformidade com a Lei, a ignorância não é uma bênção. Se informações incorretas forem enviadas acidentalmente durante uma auditoria de conformidade, um CEO ou CFO ainda estará sujeito ao pagamento de multa de até um milhão de dólares e à condenação a até 10 anos de prisão. O descumprimento dos requisitos de conformidade com a SOX poderá, ainda, resultar na exclusão da empresa das bolsas de valores.

A conformidade com a Lei exige atenção máxima. A empresa deve dedicar o tempo necessário à identificação dos sistemas que darão sustentação a esse esforço, investir na implementação adequada de sistemas e processos e destinar os recursos indispensáveis à manutenção da conformidade, o que inclui manter-se atualizada quanto às mudanças nas regras e nas soluções de suporte.

AVISO LEGAL: AS INFORMAÇÕES CONTIDAS NESTE ARTIGO TÊM FINALIDADE MERAMENTE INFORMATIVA. NADA AQUI APRESENTADO CONSTITUI OU TEM A INTENÇÃO DE CONSTITUIR CONSULTORIA OU ACONSELHAMENTO JURÍDICO DE QUALQUER NATUREZA. NÃO CABE À SAILPOINT OFERECER TAL ASSESSORIA, SENDO, PORTANTO, RECOMENDADA A CONSULTA A UM ADVOGADO QUANTO A QUAISQUER QUESTÕES LEGAIS APLICÁVEIS.

Perguntas frequentes

O que é um plano de correção do ICFR? Auditores devem atestá-lo?

Um plano de correção do controle interno sobre relatórios financeiros (ICFR, Internal Control over Financial Reporting) enumera as deficiências de controle, as responsabilidades, as etapas de correção, o cronograma e as provas necessárias à eliminação de falhas. É necessário quando os auditores da SOX consideram os controles insuficientes. Na maioria das grandes empresas de capital aberto, os auditores externos devem atestar a avaliação do ICFR feita pela administração e emitir um parecer como parte da auditoria anual.

Que registros devem ser mantidos para manter a conformidade com a SOX e por quanto tempo?

Para manter a conformidade com a SOX, registros financeiros e que sejam importantes para a auditoria (por exemplo, demonstrações financeiras e cronogramas de suporte, documentos de auditoria, documentação de controle, e-mails e comunicações eletrônicas relevantes, registros e backups do sistema e tíquetes de correção e exceção) estão sujeitos a regras de retenção. Esses registros devem ser retidos por sete anos após a conclusão da auditoria, com aplicação de proteções contra acesso e adulteração.

Quais são alguns dos principais tipos de provas necessárias à sustentação de uma auditoria de conformidade com a SOX?

São provas típicas em uma auditoria de conformidade com a SOX:

  • Listas de acesso, tickets de provisionamento/desprovisionamento e logs de recertificação.
  • Logs de tarefas de backup e relatórios de teste de restauração.
  • Conciliações bancárias e aprovações dos revisores.
  • Tickets de gestão de mudanças, resultados de testes e logs de implantação.
  • Logs de exceção, tickets de correção e provas de encerramento.
  • Lançamentos contábeis com faturas comprobatórias e análises.
  • Políticas com atribuições de funções de controle e e respectivos responsáveis.
  • Fluxogramas de processo e POPs (procedimentos operacionais padrão). • Capturas de tela de configuração do sistema e relatórios exportáveis. • Planos e resultados de testes. • Confirmações de terceiros (ex.: bancárias e jurídicas). • Logs e backups de trilhas de auditoria com carimbo de data e hora.
Qual foi o impacto da Lei Sarbanes-Oxley ao longo do tempo?

Desde sua aprovação em 2002, a Lei Sarbanes-Oxley (SOX) elevou o patamar da responsabilização da gestão, dos controles internos e da supervisão de auditoria. O impacto da SOX continua evidente em ambientes corporativos mais padronizados, seguros e confiáveis, oferecendo benefícios de longo prazo para organizações, investidores e para a economia em geral. São diversos os seus impactos positivos:

  • Requisitos mais rigorosos quanto à independência da auditoria e responsabilidade dos executivos.
  • Melhoria governança e na qualidade das auditorias.
  • Institucionalização de práticas de governança corporativa, como comitês de auditoria, processos de denúncia e estruturas de controle documentadas.
  • Mais transparência.
  • Otimização de processos, o que aumentou a eficiência da auditoria com melhor integração entre os departamentos financeiro e de TI.
  • Redução de erros materiais em relatórios.
  • Renovação da confiança dos investidores.
  • Estruturas de controle interno rigorosas que promovem práticas comerciais éticas.
  • Reformas legislativas semelhantes em outros países que reforçam a importância de controles financeiros robustos nos mercados internacionais.
Quais são algumas das consequências negativas e não intencionais da SOX ao longo do tempo?
  • Aumento dos custos de conformidade e auditoria.
  • Ônus desproporcional para emissores de pequeno porte, onde os custos de conformidade em relação ao porte são muito mais pesados para as pequenas empresas.
  • Influência nas decisões de listagem e IPOs, levando empresas de menor porte e estrangeiras a reconsiderarem listagens nos EUA ou o cronograma dos IPO devido aos custos de conformidade e à complexidade.
  • Aumento da demanda por serviços de auditoria de elevada qualidade, contribuindo para a pressão sobre a oferta de auditores e para o aumento dos honorários.
Quais são alguns exemplos do processo de auditoria de conformidade com a SOX.

Um processo típico de auditoria de conformidade com a SOX pode envolver uma série de etapas coordenadas para validar a adesão de uma organização aos requisitos de conformidade.

São procedimentos comuns de teste dos controles usados pelos auditores:

  • Consulta: perguntar aos proprietários como os controles são realizados.
  • Observação: observar o controle em operação, incluindo o fluxo de aprovações.
  • Inspeção: examinar documentos e artefatos (ex.: logs, tickets, aprovações anteriores, processos e políticas), bem como procedimentos de backup e recuperação de desastres da empresa, verificando se registros financeiros são armazenados regularmente em backup e se podem ser recuperados.
  • Amostragem: executar os controles de forma independente, incluindo o recálculo de conciliações e a reemissão de relatórios, além de revisar protocolos de gestão de mudanças, rastreando um conjunto de amostras das alterações de aplicativos ou da infraestrutura, desde o início até a aprovação e implementação.
  • Confirmações: obter verificações de terceiros (bancos, clientes, etc.).
  • Relatórios: avaliar as respostas da gestão e produzir um relatório de conformidade com a SOX que descreva os pontos fortes, as deficiências e as recomendações para correção.
Quais erros ou omissões os auditores de conformidade com a SOX podem sinalizar?
  • Falhas na gestão de mudanças (ausência de tickets, testes ou aprovações finais).
  • Falha na integração entre processos de TI e de negócios.
  • Descrições de controle inadequadas para recursos em nuvem e sistemas SaaS.
  • Logs de auditoria insuficientes ou ausentes e falta de armazenamento imutável para registros essenciais.
  • Falta de treinamento adequado em segurança e conformidade.
  • Provas ausentes ou incompletas, como a falta de prova de um controle ou de que ele foi efetivamente revisado.
  • Ausência de aprovação do revisor para lançamentos contábeis ou ajustes manuais.
  • Documentação de processos desatualizada.
  • Dependência excessiva de controles manuais sem atribuição clara de responsabilidade.
  • Dependência excessiva de capturas de tela em vez de logs de sistema exportáveis.
  • Justificativa de amostragem mal documentada ou testes inconsistentes.
  • Deficiências anteriores não resolvidas ou provas de correção insuficientes.
  • Conflitos de separação de funções (separtion of duties, SoD) não resolvidos e controles compensatórios fracos ou inexistentes.
  • Estimativas ou provisões sem elemento comprobatório (ou seja, sem cálculos de backup).
  • Conciliações ou aprovações finais inoportunas ou ausentes (ex.: atividade de encerramento tardia).
  • ITGCs (controles gerais de tecnologia da informação) frágeis, tais como provisionamento de acesso deficiente, recertificações inativas ou controles de mudança ineficazes.
Que estratégias podem ajudar a superar os desafios de conformidade com a SOX?

Para superar desafios de conformidade com a SOX de forma eficaz, as organizações devem:

  • Adotar uma abordagem estruturada e proativa que integre a conformidade a operações mais amplas de gerenciamento de riscos corporativos e operações comerciais.
  • Realizar treinamentos regulares e direcionados a funcionários de todos os níveis.
  • Avaliar e refinar continuamente seu ambiente de controle por meio de auditorias internas e consultoria externa especializada, visando à pronta identificação de deficiências e correção de pontos fracos.
  • Definir responsabilidades e canais de comunicação.
  • Desenvolver uma equipe multifuncional de conformidade com a SOX composta por profissionais de finanças, TI, auditoria interna e jurídico.
  • Utilizar ferramentas de automação para documentação, testes de controle e relatórios.
Data: 7 de abril de 2026Tempo de leitura: 29 minutos
ConformidadeMitigação de riscos

Introdução

Veja o que o SailPoint Identity Security pode fazer pela sua organização

Descubra como nossas soluções permitem que as empresas modernas da atualidade enfrentem o desafio de garantir acesso seguro aos recursos sem comprometer a produtividade ou a inovação.

Solicitar uma demonstraçãoContato