Entendendo um pouco sobre esta lei; transformada em lei em 30 de julho de 2002, estabelece que os CEO’s e CFO’s devem certificar a apresentação trimestral e anual de relatórios financeiros para a Securities and Exchange Commission (SEC).
Indícios de falsificação ou irregularidades podem resultar em penas legais , chegando até a prisão dos executivos responsáveis.
• O SOX define o estabelecimento de vários pontos de controle nas operações das organizações.
• Não existe uma precisão estabelecida de como esses controles internos devem ser implementados e que pontos críticos devem ser protegidos
• Por outro lado, é exigido que uma empresa independente faça auditoria periódica dos controles internos estabelecidos
Seu objetivo é ajudar a esclarecer uma série de questões importantes relacionadas ao processo de certificação da administração conforme requerido pela SOX 404.
Especificamente, este artigo tem como objetivo responder às perguntas mais freqüentes, oferecendo orientações gerais que podem ser utilizadas pela administração no planejamento e na avaliação da eficácia dos controles internos relacionados à elaboração das demonstrações financeiras.
É importante que os leitores entendam que a administração é responsável pelo cumprimento das disposições da Lei Sarbanes-Oxley e, mais especificamente, da Seção 404.
A administração deve consultar seus advogados, auditores e outros profissionais que julgarem necessários, com o objetivo de satisfazer essas obrigações.
As normas e guias de boas praticas como a ISO 17799, COSO e o COBIT, dão um bom suporte no que se refere a certificação SOX.
Segurança de Infra-Estrutura
– Devem ser implementados controles destinados a proteger rede corporativa e todos seus componentes.
– Esses controles devem ser extensivos aos parceiros de negócio da organização.
– Deve ser dada atenção especial a relatórios de atividades e logs de equipamentos.
– A política de segurança deve definir de forma clara as funções, responsabilidades e processos.
– Exceções devem ser evitadas ao máximo, e caso ocorram devem ser devidamente documentadas.
– Controle do ambiente
– Análise de risco
– Atividades de controle
– Informação e comunicação
– Segurança de Infra-Estrutura
– Controle de acesso
– Plano de contingência
– Deve ser aplicado de forma extensiva usando o princípio de menos privilégio, especialmente quando envolver dados financeiros.
Quatro tópicos devem ser especialmente analisados e trabalhados:
– Concessão de acesso
– Manutenção de contas
– Término de acesso
– Gerenciamento de senhas
As normas para gestão da segurança da informação, atendem muito bem os requisitos para certificação dos seus processos , como podemos ver mais abaixo.
Objetivo: Impedir acesso não autorizado às informações mantidas nos sistemas de informação. Os recursos de segurança devem ser usados para restringir o acesso dentro dos sistemas aplicativos.
O acesso lógico ao software e às informações deve ser restrito aos usuários autorizados. Os sistemas aplicativos devem:
Usuários de sistemas aplicativos, incluindo a equipe de suporte, devem receber acesso às informações e funções dos sistemas aplicativos de acordo com uma política predefinida de controle de acesso, baseada nos requisitos individuais das aplicações do negócio e consistente com a política organizacional de acesso a informações (ver 9.1 da norma).
A aplicação dos seguintes controles deve ser considerada de forma a suportar as exigências de restrição de acesso:
Sistemas sensíveis podem exigir um ambiente computacional dedicado (isolado).
Alguns sistemas aplicativos são suficientemente sensíveis a perdas potenciais a ponto de exigir tratamento especial. A sensibilidade pode indicar que o sistema aplicativo deve ser executado em um computador dedicado, deve compartilhar recursos apenas com sistemas aplicativos confiáveis ou não ter limitações. As seguintes considerações se aplicam:
A SOX é mais um padrão de controles para a Segurança da informação, que é perfeitamente permeável por padrões consagrados no mercado há décadas, que auxiliam para que os controles e resultados apresentados sejam realmente confiáveis, evitando assim fraudes no sistema financeiro.
You must be logged in to post a comment.