Segurança da Informação

Tem como principal objetivo restituir a confiança do investidor no mercado de capital e nos auditores independentes, alem de elevar o nível de responsabilidade e comprometimento da Direção das Companhias, no que se refere aos processos e controles internos.

SOX focaliza especificamente na exatidão de registros financeiros de uma empresa e dos controles relacionados à renda, despesas, contabilidade, responsabilidades, e assim por diante.

A segurança da informação é um componente fundamental da conformidade da SOX em relação aos controles contábeis da empresa.
A direção da empresa é responsável não somente pela informação financeira, mas também pelo modo que a informação é gerada, obtida, coletada, armazenada, processada, e transmitida, e esta responsabilidade pode somente ser conseguida com um sistema de gerência eficaz da segurança da informação.

Sox - A Dependência na Infra-estrutura de TI
A infra-estrutura de TI possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente da infra-estrutura. A qualidade, a segurança e confiabilidade dos dados financeiros estão diretamente relacionadas aos níveis da qualidade e da segurança implementados na infra-estrutura que suportam os sistemas de informação.

Controle dos processos gerais da área de tecnologia que suportam os Processos de Negócio e as Aplicações Financeiras tem relacionamento dependência direta da infra-estrutura de TI, em particular nas bases de dados, no sistema operacional e nas redes. Portanto, deve-se atentar para os aspectos de:

• Planejamento e organização;
• Direcionamento tecnológico;
• Pessoas;
• Segurança;
• Gestão de Mudança;
• Operação.

Sox - A Dependência nos Sistemas de Informações:
A tecnologia da Informação possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente de sistemas. A qualidade e confiabilidade dos dados financeiros está diretamente relacionada a ao nível da qualidade aplicado no desenvolvimento, manutenção e operação dos sistemas de informação.

Controles automáticos das aplicações que geram impacto financeiro deverão ser identificados durante os levantamentos de controles de processos de negócio.
Controles automáticos cooperam para este fim, sem a necessidade de intervenção humana para sua operação.

È fundamental que se rastreia e documentos todo relacionamento entre as aplicações financeiras e as outras aplicações de negócio da empresa. Nem sempre a origem dos dados se dá na aplicação financeira e sim no sistema de “billing” da empresa. Como por exemplo, um sistema comercial que faz faturamento, cobrança e arrecadação, fornecendo informações para a área financeira da empresa. Todo o cuidado deve ser tomado com relação à integridade das informações desde sistema comercial.

Controles ou aplicações de controle a serem implementados nas Aplicações Financeiras têm participação direta nas atividades de:

• Planejamento, monitoramento e controle do processo de desenvolvimento da aplicação financeira e outras que gerem dados para estas;
• Verificação da adequação dos aspectos funcionais com as necessidades reais de negócio;
• Validação da adequação dos aspectos funcionais com a implementação física da aplicação financeira e das outras aplicações relacionadas;
• Cálculos realizados;
• Atualização de Dados;
• Interfaces com outros aplicativos;
• Limites de tolerância aceitáveis;
• Limites aprovados;
• Transferência Automática de informação entre aplicações;
• Segregação de tarefas;
• Gerenciamento dos requisitos e das mudanças realizadas nas aplicações.

Todo risco corporativo, quer seja operacional, financeiro ou digital requer um controle para que seja minimizado:

• Restrições de acesso às transações ou funcionalidades sistêmicas relevantes do ponto de vista que afete direta ou indiretamente as demonstrações financeiras;
• Controles programados através de parâmetros que definem a funcionalidade da aplicação diante de uma transação que demanda controle;
• Controle programado no sistema destino com o objetivo de bloquear entradas incorretas ou não integra, alertando sobre as inconsistências bloqueadas.

Sox - A Seção 404

Esta seção determina a avaliação anual dos controles e procedimentos internos para fins de emissão do relatório financeiro. É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, …), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).

Para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:

• Plano de continuidade de negócios;
• CobiT - governança em TI;
• ITIL - gestão de serviços de TI;
• CMMI - gestão para o desenvolvimento de software
• ISO 27001 segurança da informação
• ISO 9001 gestão da qualidade

A correta implantação e manutenção da aplicação destes modelos irão garantir a adequabilidade dos sistemas de informação às exigências da Sox.

Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/