Governança

Ξ 2 comentários

SOX como ferramenta de qualidade em TI

publicado por Silvio Bogsan

Quem trabalha em multinacional conhece. A SOX, ou lei Sarbanes-Oxley tem sido desde 2002, assunto do café, quando chega a vez de reclamar de alguma coisa. Saem todos dizendo: “Nem me fale…” mas poucos realmente entendem as implicações.

A SOX foi criada na crise anterior, quando várias empresas confessaram que tinham feito uma “maquiagem” na contabilidade. Isso afetou negativamente a bolsa de Nova York, abalou a confiança das pessoas nas empresas e provocou escândalos em 2001, e no ano seguinte, os senadores americanos Paul Sarbanes e Michael Oxley foram relatores de um projeto de lei, conhecido hoje como SOX.

Na famigerada lei, consta de sua seção 404, o que a área de Tecnologia de uma empresa deveria fazer para melhorar a transparência das operações da empresa. Coisas básicas como fazer backup´s, manter acessos restritos por senha segura e comprar licenças dos softwares da empresa. O que talvez não seja tão básico é o conceito de conflito de interesses, que determina que haja segregação de tarefas nos sistemas corporativos. Assim, a pessoa que solicita a compra de um produto não pode ser a mesma que aprova a compra e nem a mesma que recebe e confere a mercadoria.

Para mostrar a todos que a área de Tecnologia fez a lição de casa e mantém todos os requisitos exigidos, são produzidos toneladas de relatórios com as evidências de que tudo foi feito de acordo. Desde controles de acesso, com data e hora de cada “login” no sistema, até evidências que os backups foram feitos e armazenados num cofre à prova de fogo.

Quando o auditor (palavrão para muita gente) chega, ele analisa as evidências e aprova ou não as atividades da área de Tecnologia, faz recomendações de melhorias e sugere novos métodos de controle e novas evidências. Ou seja, solicita mais trabalho das pessoas envolvidas.

Já que se vai ter todo este trabalho para apresentar evidências ao auditor, por que não usar esses mesmos controles para medir a qualidade do trabalho executado ??

Se é necessário fazer backup, produzir evidência que o backup foi feito e apresentar ao auditor,  o responsável pode aproveitar e revisar os procedimentos de backup para ver se aquela nova pasta de rede entrou no backup mensal. O mesmo se aplica para todas as evidências que são produzidas para auditoria. O trabalho é basicamente o mesmo. Basta que se encare a coisa não como uma “tortura”, mas como um procedimento de qualidade.

Nas fábricas existem diversos controles para assegurar qualidade dos produtos entregues. As entregas da tecnologia também podem ser medidas e ter sua qualidade assegurada. Sugiro aproveitar o mesmo trabalho feito para os auditores, melhorando a produtividade da própria área de Tecnologia.

Auditoria deve ser usada para beneficiar o negócio e ela não vai deixar de existir. Aliás, depois desta crise de 2008/2009 acho que aumentarão os controles sobre as operações das empresas, pelo menos em alguns setores. O auditor é encarado como “inimigo”, mas ele pode ser um poderoso aliado para que as falhas de operação sejam substituídas por aumento de eficiência e de produtividade.

Autor

Graduação em Administração de Empresas, Especialização em Análise de Sistemas, Pós-graduação em Qualidade do Software, Mestrado em E-Business, MBA em Gerenciamento de Projetos. São 25 anos dedicados à area de Tecnologia, atuando como gerente, analista, programador, especialista técnico e professor. Vivência dentro e fora do país, em grandes, médias e pequenas empresas. Trago muita vontade de trocar experiências. Tenho 41 anos, sou casado, meus 2 filhos adolescentes são o Projeto mais importante da minha vida. Coleciono Jogos de Tabuleiro, leio muito. Quero fazer um doutorado em breve.

Silvio Bogsan

Comentários

2 Comments

  • Silvio…

    Muito bom artigo sobre Sarbanes-Oxley. A preocupação com a SOX foi a manipulação de dados uma vez que está no sistema – as empresas devem fornecer uma trilha completa do documento de origem ao relatório de saída.

    Tornou-se uma necessidade, sim. Mas teve muitos benefícios que muitos não percebem. Práticas só pode fazer alguma, SOX implementou um meio de prestação de contas e responsabilidade sobre o diretor financeiro.

    Isso criou muitas oportunidades para a inovação na gestão de dados. Um exemplo – um dos meus clientes, que utilizam 33 sistemas abertos. Eles precisavam de um método que poderia ser aplicado a todos os sistemas abertos de patches, upgrades, controle de versão (conhecido como gestão de mudanças). Foi concluída, com sucesso!

    A necessidade de fornecer controles para gerenciamento de dados tem aumentado a eficiência de sistemas desde 2002. Também prestou muita complexidade – como a área médica, onde a fluidez é primordial em tudo que fazem. Nós progresso… às vezes passo para trás, mas principalmente o progresso…

    um abraço

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes