A lei Sarbanes-Oxley, que entrou em vigor em agosto de 2002, chega este mês ao seu quarto aniversário com motivos de sobra para encher de orgulho a sua reguladora, a Securities and Exchange Commission (SEC). Faz dois anos e meio que as empresas norte-americanas vêm cumprindo à risca as exigências, mesmo sob raivosos protestos quanto aos elevados custos envolvidos. No mês passado, foi a vez de as corporações do Reino Unido concluírem seus processos de adequação à seção 404 da lei, obedecendo, britanicamente, o prazo conferido a elas. Já em dezembro, chegará o momento de as companhias brasileiras provarem que também conseguiram controlar todas as etapas de sua gestão conforme as diretrizes da SOX.

Por aqui, ninguém duvida do esforço que as nossas empresas realizaram — e, em alguns casos, ainda vêm fazendo — para atender à 404 e, desta forma, passar no teste final da SOX e poder manter seus American Depositary Receipts (ADRs) em território norte-americano. A Gol, a Braskem e o Itaú já concluíram o trabalho. Contudo, aí vai um lembrete que serve tanto para quem está na reta final do processo quanto para quem já cruzou a linha de chegada: o pesadelo da SOX não acaba neste ano. Como na colação de grau de um estudante universitário, o diploma que as S.As brasileiras irão receber até dezembro inaugura apenas uma nova fase de suas vidas. A partir de 2007, as companhias com ADRs entrarão na chamada fase de manutenção da Sarbanes-Oxley — um trabalho quase tão complexo e exaustivo quanto foi o seu processo de implantação.

A manutenção consiste, basicamente, em não baixar a guarda no acompanhamento dos riscos já identificados e ainda criar uma estrutura de controle atenta aos eventuais problemas que surgirem das novas estratégias de negócios desenvolvidas pela empresa. Também será necessário o reparo de todas as deficiências descobertas durante a fase de certificação, priorizando as mais graves, além da definição de uma política de comunicação interna, que permita o diálogo entre todas as áreas envolvidas — diretoria de TI, departamento jurídico, Relações com Investidores, recursos humanos etc. Tudo isso, é claro, sem esquecer de documentar quaisquer procedimentos de acordo com os incontáveis padrões de relatórios recomendados pela SOX.

MÃO ÚNICA — Até quando seguirão essa rotina? Ora, para sempre ou, pelo menos, enquanto a negociação de seus ativos estiver sob a legislação norteamericana. “É um caminho sem volta”, sentencia Ancelmo Bonservizzi, da área de gestão de riscos da Deloitte. E ele tem razão. Uma vez por ano, as companhias listadas lá fora terão de renovar seus certificados. Muitos já falam em planos de revisão trimestrais dos processos para evitar surpresas em cima da hora. “De agora em diante, é fundamental encarar Sarbanes-Oxley como uma preocupação do dia-a-dia de todos na companhia.”

Nos Estados Unidos, essa fase de manutenção já está sendo chamada de Sustainable Compliance Process, ou SOX Sustainability. Só com os temas da seção 404 vem sendo realizados dezenas de seminários, palestras e discussões em que as companhias norte-americanas são convidadas a dar depoimentos e ensinar quem tiver interesse — e não faltam países interessados — em conhecer como é a vida pós-SOX. Organizados pelas auditorias, tais eventos são uma oportunidade para conhecer as dicas das veteranas sobre como cortar custos e usufruir dos benefícios trazidos pelos controles implementados. A Capital Aberto recolheu algumas delas junto à quatro grandes firmas globais de auditoria presentes no Brasil.

A primeira iniciativa comum entre companhias foi a criação de um comitê permanente para cuidar dos assuntos relacionados à Sarbanes-Oxley. Sidney Ito, da KPMG, explica que esse guardião da SOX possui o status de diretor ou vice-presidente e também acumula a responsabilidade sobre os demais temas ligados à governança corporativa, como ética e conduta dos funcionários. Na visão das companhias norte-americanas, as exigências da lei anti-fraude pertencem ao mesmo conjunto de cuidados que já era posto em prática pelo manual da boa gestão corporativa. Para quem gostou da idéia, mais uma informação: na maioria da vezes, esse profissional vem do próprio time que cuidou da implantação da SOX, mas também há casos de uma pessoa de fora ter sido chamada para abraçar a função.

Além de reforçar o capital humano na vigília do cumprimento das novas regras, as empresas norteamericanas também se preocuparam com a criação de um sistema para armazenar a parafernália de documentos produzidos. Num evento patrocinado pela PricewaterhouseCoopers, em maio, foi divulgado que, desde 2004, os gastos com a automatização dos processos internos chegou a triplicar em algumas companhias dispostas a ganhar tempo para testar e registrar os dados exigidos pela norma da SEC. “Muitas delas otimizaram seus controles, repassando demandas para equipes que já respondiam por assuntos de qualidade, como o pessoal da área de ISO 9000, por exemplo”, acrescenta Eliane Kihara, sócia da PwC.

Sérgio Citeroni, da ErnstYoung, lembra que todos esses cuidados não se limitaram apenas à matriz das companhias. Por uma exigência da SEC, as obrigações chegaram até as subsidiárias mais importantes da corporação, mesmo aquelas instaladas em outros países. “Essas unidades tiveram todos os seus processos checados, inclusive nos casos de filiais com o capital fechado.”

DE VOLTA AO BRASIL — Expostas as experiências das empresas norte-americanas, é hora de olharmos como essa realidade está sendo encarada por aqui. De acordo com as quatro auditorias consultadas, o País vai bem nessa corrida, e são muito poucas as chances de alguma emissora de ADR perder o prazo da certificação, pois os trabalhos seguem bastante adiantados. Do mesmo modo, quem já obteve o diploma da SEC também não vem encontrando dificuldades para adaptar sua rotina a esse novo desafio.

No Itaú, o modo de vida SOX Sustainability já faz parte do dia-a-dia dos executivos desde junho de 2005, quando eles anunciaram a conquista da certificação. Todos os meses são realizados testes nos controles implantados, e os resultados, armazenados de acordo com suas matrizes de risco num software interno, aproveitado pela instituição. A área de TI demandou um cuidado especial. A partir de agora, ela precisa manter os olhos bem abertos para não esquecer da lei norte-americana quando inventar alguma solução ou produto voltado aos clientes do banco. “Se vamos criar um sistema de concessão de empréstimos via celular, por exemplo, temos de disparar um plano de ação com um modelo de controle compatível”, exemplifica João Costa, vice-presidente da área de controladoria econômica do Itaú, atualmente mais conhecido como o chefe do GT-404 ou Grupo de Trabalho da seção 404.

Para Antonio de Sousa, sócio da Big Five Consulting, a grande preocupação com esse departamento se justifica. À frente do trabalho de implantação da governança em TI na Gol e na Bradesco Seguros, ambas envolvidas no processo de certificação, Sousa enxerga uma verdadeira revolução cultural no modo de trabalhar com tecnologia. “Até então, esses profissionais se concentravam apenas nas tarefas de criação e desenvolvimento de sistemas. Agora, dividem o ônus da SOX com a mesma responsabilidade que é atribuída a uma diretoria financeira, por exemplo.”

Na Braskem, a adequação dos sistemas de informática ao modelo SOX teve um trabalho extra. Isso porque a companhia é resultado da fusão de seis empresas que não necessariamente adotavam o mesmo tipo de software de gestão. Felizmente, conseguiram driblar a torre de babel tecnológica e garantiram a certificação da Sarbanes-Oxley em junho deste ano. Contudo, outro desafio envolvendo os cuidados com a legislação norte-americana está por vir: a Braskem deu início, recentemente, a um processo de integração dos sistemas de TI de suas unidades. “Teremos de testar novamente todos os processos”, desabafa Jayme Fonseca, diretor de controladoria.

Com tantas necessidades de ajustes, torna-se irresistível a pergunta: quanto custou a brincadeira? Costa, do Itaú, contabilizou uma cifra de R$ 15 milhões, na qual incluiu as 26 mil horas de trabalho gastas por sua equipe interna, além de outras 40 mil horas pelos auditores. Na Braskem, a despesa ficou em R$ 9 milhões. Por lá ninguém fez os cálculos do tempo dedicado à adequação das normas. Mas a rotina de documentar e testar, obrigatoriamente, todas as etapas da produção faz o diretor da Braskem imaginar um sacrifício semelhante. “Foram muitos feriados, fins de semana, horas-extras e férias canceladas”, lembra.

RECONHECIMENTO — Em junho, quando o reconhecimento da SEC foi oficializado, Itaú e Braskem comemoraram. Nessa última, houve apenas um brinde na diretoria. “Sei que estamos em falta com as equipes. O problema é que, desde então, não conseguimos parar”, desculpa-se Jayme. Já o Itaú organizou um almoço, mandou fazer uma placa de agradecimento aos departamentos envolvidos e distribuiu a cada um dos funcionários uma espécie de diploma. “Era uma forma de dizer a eles que o objetivo só foi alcançado com a ajuda de todos”, explica Costa.

Na NET, embora o champanhe ainda não tenha sido estourado, o processo de certificação está praticamente concluído. Pelo menos é o que garante o diretor financeiro e de Relações com Investidores, Leonardo Pereira. Mais do que uma obrigação legal, ele enxerga a adequação dos controles da empresa às normas da SEC como uma forma saudável de padronizar seus procedimentos internos. “Temos 44 operadoras diferentes sob o mesmo guarda-chuva. Mais cedo ou mais tarde, iríamos precisar homogeneizar nossos processos”, avalia. “A SOX veio em boa hora.”

Os custos para adotar esse padrão para lá de gabaritado, Pereira não revela. Diz que saiu por mais de R$ 1 milhão e menos de R$ 5 milhões. Mas nem por isso deixa de ser um fiel defensor da legislação norte-americana. “Estamos pensando até em fazer um SOX Day, ou seja, escolher uma data para conscientizar todos os funcionários da empresa sobre a importância dos controles e, principalmente, sobre a qualidade dos nossos serviços”, empolga-se.