A aproximação do dia 15 de novembro, data em que o primeiro grupo de empresas americanas emitirá seus relatórios de aderência à lei federal Sarbanes-Oxley, provoca uma variedade de reações nas companhias. Itens intangíveis como transparência, integridade e governança adquirem uma nova dimensão na valoração de uma empresa pelos agentes financeiros e, de uma forma prática, torna-se crítica e mesmo vital, em alguns casos, uma completa redefinição da área de gestão de riscos dentro da estrutura organizacional.

Certamente é a primeira vez que tanto o CIO (Chief Information Officer) quanto o CSO (Chief Security Officer) estão na mesma mesa tratando de um projeto comum com o CFO (Chief Financial Officer) e as áreas de auditoria interna. Fato inédito e que deve ser entendido como um grande motivador para a transparência voltada à moderna gestão corporativa. Tal comunicação horizontal criará certamente uma linguagem mútua de entendimento das disciplinas, beneficiando toda a cadeia de valor de negócios.

Interessante notar que o grande poder sinérgico da Sarbanes-Oxley provoca a necessidade de transparência e governança. Até mesmo nas empresas não obrigadas ao “compliance”, mas que percebem os benefícios da aderência aos princípios da gestão de riscos e controles internos. A oportunidade tática de estar em conformidade com a Sarbanes-Oxley tem a inédita capacidade de aglutinar sinergias no aperfeiçoamento de políticas maduras de gestão e controle de riscos, para a adoção de uma real, efetiva e inovadora postura de gestão e governança corporativa.

Do ponto de vista de segurança tecnológica e governança de TI, este tema viabiliza a execução de muitos projetos em escala corporativa, os quais possivelmente não seriam materializados sem a necessidade desta conformidade. A seguir, um resumo dos objetivos da Sarbanes-Oxley, com enfoque para os aprimoramentos na área tecnológica:

• Enfatizar a necessidade de se testar os controles internos que, de um lado, não permitam a propagação de fraudes e, de outro, possibilitem a agilidade necessária para a realização de negócios em escala global de forma transparente e dinâmica;
• Definir um novo modelo para gestão de riscos, envolvendo componentes tecnológicos, operacionais e financeiros;
• Elevar significativamente as camadas de proteção e segurança lógica das informações, através de testes contínuos de eficiência das defesas atuais a potenciais violações, tanto internas quanto externas;
• Eliminar as vulnerabilidades e ameaças dos sistemas e bases de dados envolvidos direta ou indiretamente com o processamento das transações on-line, meios de pagamento e demonstrações financeiras;
• Redimensionar as prioridades de projetos e orçamentos das áreas de TI, provendo uma maior integração com os objetivos de negócios;
• Gerenciar, detectar e minimizar a ocorrência de perdas financeiras e incrementar os níveis de tolerância a riscos conhecidos, em especial, na plataforma tecnológica;
• Possibilitar investimentos associados ao aumento dos controles internos e infra-estrutura tecnológica na defesa e proteção dos ativos críticos de negócios da empresa contra os eventos de crimes eletrônicos e fraudes corporativas;
• Expor e assumir de forma transparente a responsabilidade pela eventual não adoção dos controles e processos recomendados pelas auditorias externas e consultorias de segurança perante o conselho administrativo e órgãos reguladores – num primeiro momento a SEC (Securities and Exchange Commission).