O que é SOX (Sarbanes-Oxley) e por que TI responde

O que é a Lei SOX

A Lei Sarbanes-Oxley (SOX) foi promulgada nos EUA em 2002 após os escândalos da Enron e WorldCom. Ela estabelece requisitos de controle interno, transparência e responsabilidade pessoal dos executivos sobre os relatórios financeiros.

No Brasil, a SOX afeta diretamente empresas que:

→ São listadas na NYSE, NASDAQ ou outras bolsas americanas
→ Têm controladora americana com ações negociadas nos EUA
→ Fazem parte do grupo econômico de uma empresa pública americana
→ Adotam voluntariamente as práticas SOX como requisito de investidores ou parceiros

As duas seções que importam para TI

Seção 302 — Certificação dos executivos

CEO e CFO assinam pessoalmente que os controles internos foram avaliados e são eficazes. Se um controle de TI falhar e o executivo assinou, há responsabilidade pessoal. Isso cria pressão direta sobre o CIO/CTO para garantir que os controles de TI estejam documentados e funcionando.

Seção 404 — Avaliação do controle interno

A empresa deve incluir no relatório anual uma avaliação da eficácia do controle interno sobre o processo de elaboração dos demonstrativos financeiros. A auditoria independente (Big Four) verifica essa avaliação. É aqui que os ITGC (IT General Controls) entram: o auditor testa os controles de TI que sustentam os sistemas financeiros.

O que são ITGC (IT General Controls)

ITGC são os controles de TI que protegem a integridade dos dados financeiros nos sistemas. Eles não auditam cada transação — auditam os controles que garantem que o sistema processa transações corretamente.

Os 4 domínios ITGC auditados em SOX

Controle de acesso lógico

Quem acessa o quê, com que privilégios, quando, e como isso é revisado e revogado

Gestão de mudanças

Como alterações em sistemas financeiros são aprovadas, testadas e documentadas antes de ir para produção

Operações de TI

Agendamento de jobs financeiros, monitoramento de erros, gestão de incidentes com impacto em fechamentos

Backup e recuperação

Backup testado, RTO/RPO documentados, plano de continuidade dos sistemas financeiros

COSO e COBIT — os frameworks de referência

COSO (Committee of Sponsoring Organizations) é o framework de controle interno adotado pela maioria das empresas para SOX. Define 5 componentes: Ambiente de Controle, Avaliação de Risco, Atividades de Controle, Informação e Comunicação, Monitoramento.

COBIT (Control Objectives for IT) é o complemento técnico do COSO para TI. Enquanto o COSO define o "o quê" do controle interno, o COBIT define o "como" na perspectiva de TI. Auditores que conhecem COBIT conseguem mapear os ITGC com precisão.

Na prática: a maioria das empresas brasileiras usa uma combinação simplificada dos dois — sem a formalidade de adotar todos os processos do COBIT, mas com a estrutura do COSO como guia.

Por que TI sempre é o ponto fraco na auditoria SOX

Finance entende SOX há 20 anos. TI foi puxada para o escopo mais recentemente e muitas vezes não tem processos estruturados. Os achados mais comuns em auditoria SOX de TI:

× Usuários com acesso além do necessário (princípio do menor privilégio não implementado)
× Mudanças em produção sem aprovação ou teste documentado
× Acesso de administrador compartilhado (conta genérica sem rastreabilidade)
× Backup não testado (backup existe, recuperação nunca foi testada)
× Log de auditoria desabilitado ou com retenção insuficiente
× Desenvolvedores com acesso direto à produção
× Contas de usuários demitidos ainda ativas

Veja como sua TI está nos 4 domínios ITGC

Checklist de 15 controles SOX para TI. Score por domínio, resultado na tela. PDF por email.

Fazer checklist gratuito →