Gbitten

Existe uma grande confusão em diversas páginas na web que afirmam que a Sarbanes-Oxley determina 7 anos para retenção de logs. Isto é comum na Internet, as pessoas fazem copy & paste de outras páginas, não verificam as fontes originais e, no final, algo que é uma inverdade passa a ter credibilidade pois muitos repetem esta informação.

Ocorre que a U.S. Securities and Exchange Commission definiu o seguinte em uma das suas regulamentações:

WE are adopting rules requiring accounting firms to retain for seven years certain records relevant to their audits and reviews of issuers' financial statements. Records to be retained include an accounting firm's workpapers and certain other documents that contain conclusions, opinions, analyses, or financial data related to the audit or review.

Como pode-se verificar no texto a cima, a Sarbanes-Oxley não expecifica qual deve ser o período de retenção de logs, mas sim, determina que as empresas de auditoria guardem por 7 anos os registros das auditorias realizadas.

Marcadores: SOx

David Stern expoem sua opinião sobre o lado positivo do esclândalo contábil da Enron, particulamente sobre o efeito que as regulamentações como SOx e PCI trazem as organizações.

• The Silver Lining of Enron

Marcadores: SOx

Referência permanente para este humilde blog, Augusto Paes de Barros postou uma notícia interessanto sobre a recente declaração do ex-presidente Alan Greenspan sobre a SOx. Greenspan chamou a secão 404 da SOx de pesadelo. A meu ver, realmente tem sido um pesadelo para as empresas ficar em conformidade com a seção 404. Contudo, diferente do Greenspan eu acho que o problema não é a lei, mas sim como ela foi regulamentada e adotada nas empresas.

A seção 404 estabelece o processo de avaliação de controles internos, ela diz o seguinte:

SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (a) RULES REQUIRED- The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall--

1. state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and
2. contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING- With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement.

A seção 404 estabelece que deve haver um relatório anual contendo uma avaliação de efetividade da estrutura e dos procedimentos de controle interno sobre demonstrações financeiras (404.a.2).

Por sua vez, a Public Company Accounting Oversight Board (PCAOB) é uma organização privada, sem fins lucrativos criada pela própria SOx. Ocorre que uma das funções da PCAOB é definir os padrões de auditoria para a SOx, e entre estes padrões está o "Auditing Standard No. 2" (AS2). O AS2 estabelece no parágrafo 24:

24. The auditor should evaluate all controls specifically intended to address the risks of fraud that have at least a reasonably possible likelihood of having a material effect on the company's financial statements. These controls may be a part of any of the five components of internal control over financial reporting, as discussed in paragraph 49. Controls related to the prevention and detection of fraud often have a pervasive effect on the risk of fraud. Such controls include, but are not limited to, the:

• Controls restraining misappropriation of company assets that could result in a material misstatement of the financial statements;
• Company's risk assessment processes;
• Code of ethics/conduct provisions, especially those related to conflicts of interest, related party transactions, illegal acts, and the monitoring of the code by management and the audit committee or board;
• Adequacy of the internal audit activity and whether the internal audit function reports directly to the audit committee, as well as the extent of the audit committee's involvement and interaction with internal audit; and
• Adequacy of the company's procedures for handling complaints and for accepting confidential submissions of concerns about questionable accounting or auditing matters.

Como pode ser visto em negrito (o grifo é meu), o parágrafo 24 determina que TODOS os controles que enderecem um risco razoável de fraude em demonstrações financeiras sejam avaliados. Junte-se a isso que os auditores SOx supoem que praticamente qualquer risco de fraude (ex.: risco de fraude na folha de pagamento) representa um risco de fraude para as demonstrações financeiras. A partir desta visão, ficou necessário então avaliar praticamente TODOS os controles internos que enderecem algum tipo de fraude, o que tornou a seção 404 um pesadelo.

Marcadores: SOx

Todo o esfoço de conformidade com a SOx na área de TI é justificado pela seguinte frase:

Good IT governance over planning and life cycle control objectives should result in more accurate and timely financial reporting.

IT Control Objectives for Sarbanes-Oxley 2nd Edition - Pg. 9

Contudo, tenho dúvidas desta preconizada relação direta entre a governança ampla e geral de TI e a acurácia e pontualidade (no sentido de ocorrer no tempo oportuno) do processo de demonstrações financeiras. Como os processos de Capacity Planning e de Business Continuity Planning, por exemplo, podem agregar acurácia e pontualidade aos relatórios financeiros?

A seção 404 da SOx preconiza que as organizações devem estabelecer e manter uma estrutura de controle e procedimentos adequados para o processo. Porem, os esforços de conformidade com a SOx não se limitam ao processo de demonstração financeira, colocando todos os processos de TI para adequar-se a seção 404. Isto, além de ser uma tarefa mais árdua, muitas vezes representa evoluir toda a área de TI da infância para idade adulta sem passar pela adolecência, amadurecendo os processos abruptamente, sem consistência e sem profundidade.

Marcadores: SOx