O que é conformidade com a SOX? Tudo que você precisa saber em 2019

Um guia completo sobre a SOX (Lei Sarbanes-Oxley), com requisitos, informações sobre auditoria e checklists úteis para garantir que você esteja em conformidade com a SOX.
Michael Buckbee
5 minuto de leitura
Ultima atualização 12 de Outubro de 2023

Em 2022, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley, que estabelecia regras para proteger o público de práticas fraudulentas ou errôneas feitas por empresas e outras entidades contábeis. O objetivo da legislação é aumentar a transparência nos relatórios financeiros das empresas e exigir um sistema de controles recíprocos formalizado em cada uma delas.

Estar em conformidade com a SOX não é só uma obrigação legal, mas também uma boa prática comercial. É claro que as empresas devem se comportar de forma ética e limitar o acesso a sistemas financeiros internos. No entanto, a implementação dos controles de segurança financeira previstos pela SOX também tem outro benefício: ajudar a proteger a empresa contra roubo de dados, seja por ameaças internas, seja por ataques cibernéticos. A conformidade com a SOX pode incluir muitas das mesmas práticas de qualquer iniciativa de segurança de dados.

Receba o guia essencial gratuito para conformidade e regulamentação de proteção de dados dos EUA.

História da conformidade com a SOX

Paul Sarbanes (senador do estado de Maryland e membro do partido Democrata) e Michael G. Oxley (representante do estado de Ohio e membro do partido Republicano) escreveram este projeto de lei em resposta a vários escândalos corporativos de grande repercussão, sobretudo os das empresas Enron, Worldcom e Tyco.

A meta estabelecida pela SOX é “proteger os investidores ao melhorar a precisão e a credibilidade das divulgações de informações empresariais”. Além de determinar responsabilidades para os conselhos e para os diretores de empresas de capital aberto, o projeto também estabelecia sanções penais por não cumprimento. A lei foi aprovada por maioria esmagadora na Câmara e no Senado dos Estados Unidos. Apenas três membros se opuseram.

Quem deve estar em conformidade com a SOX?

A SOX se aplica a todas as empresas de capital aberto dos Estados Unidos, bem como a subsidiárias integrais e empresas estrangeiras que são de capital aberto e operam nos Estados Unidos. A SOX também regula os escritórios de contabilidade responsáveis pela auditoria em empresas que devem estar em conformidade com a SOX.

Empresas privadas, entidades filantrópicas e organizações sem fins lucrativos geralmente não são obrigadas a cumprir tudo que é previsto pela SOX. Entidades privadas não devem destruir ou falsificar dados financeiros intencionalmente. O texto da SOX prevê sanções às entidades que o fizerem. Empresas privadas que estão planejando uma Oferta Pública Inicial (IPO, na sigla em inglês) devem se preparar para cumprir os requisitos da SOX antes de abrirem o capital.

Requisitos para conformidade com a SOX

Lista de requisitos para conformidade com a SOX no texto

Os requisitos mais importantes da SOX são:

  • Diretores-presidentes (CEOs) e diretores financeiros (CFOs) têm responsabilidade direta pela veracidade, pela documentação e pelo envio de todas as demonstrações financeiras, bem como pela estrutura de controle interno para a Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês). Em caso de falha (intencional ou não) no cumprimento, os diretores ficam sob risco de pena de prisão e sanções pecuniárias.
  • A SOX estipula um Relatório de Controle Interno declarando que a administração é responsável por uma estrutura de controle interno adequada para suas demonstrações financeiras. Quaisquer falhas devem ser relatadas aos superiores o mais rápido possível por questões de transparência.
  • A SOX impõe políticas formais de segurança de dados, comunicação de políticas de segurança de dados e execução consistente de políticas de segurança de dados. As empresas devem elaborar e implementar uma ampla estratégia de segurança de dados que proteja e mantenha seguros todos os dados financeiros armazenados e utilizados durante transações correntes.
  • A SOX determina que as empresas possuam e forneçam documentação comprovando que estão em conformidade e que estão constantemente monitorando e controlando os objetivos de conformidade com a SOX.

Auditorias de conformidade com a SOX

A SOX exige que as empresas realizem auditorias anuais e tornem os resultados de fácil acesso para qualquer parte interessada. As empresas contratam auditores independentes para realizar as auditorias de conformidade com a SOX. Essas devem ser separadas de quaisquer outras auditorias, com o objetivo de evitar um conflito de interesses.

O objetivo principal da auditoria de conformidade com a SOX é a verificação das demonstrações financeiras da empresa. Os auditores comparam demonstrações anteriores com a demonstração do ano corrente e determinam se tudo está nos conformes. Os auditores também podem entrevistar a equipe e verificar se os controles de conformidade são suficientes para manter os padrões de conformidade com a SOX.

Como se preparar para uma auditoria de conformidade com a SOX

Atualize seus sistemas de relatórios e de auditoria interna para que seja possível obter rapidamente qualquer relatório solicitado pelo auditor. Verifique se seus sistemas de software de conformidade com a SOX estão funcionando conforme o esperado, com o objetivo de evitar qualquer surpresa.

Auditoria de controles internos para a SOX

Lista de requisitos para conformidade com a auditoria da SOX no texto

Seu auditor de conformidade com a SOX investigará quatro controles internos na auditoria anual. Para estar em conformidade com a SOX, é fundamental demonstrar sua capacidade nos seguintes controles:

  • Acesso: Acesso significa controles físicos (portas, crachás, gaveteiros de arquivos com fechaduras) e controles eletrônicos (políticas de login, acesso com privilégios mínimos e auditorias de permissões). Ter um modelo de acesso com menos permissões significa que cada usuário só tem o acesso necessário para realizar seus trabalhos e é um requisito de conformidade com a SOX.
  • Segurança: Nesse contexto, segurança significa que a empresa pode demonstrar proteções contra vazamentos de dados. Quem escolhe como implementar esse controle é a própria empresa.
  • Backup de dados: Tenha backups externos e em conformidade com a SOX de todas as suas demonstrações financeiras.
  • Gerenciamento de alterações: Tenha processos definidos para adicionar e gerenciar usuários, para instalar novos softwares e para fazer alterações em bancos de dados ou aplicações que gerenciam as finanças da sua empresa.

Benefícios de um software de conformidade em uma auditoria da SOX

Uma das melhores formas de demonstrar conformidade com a SOX é implementando uma plataforma de software de segurança centrada em dados. As plataformas modernas de segurança de dados podem ajudar a identificar problemas de autorização, a encontrar e categorizar dados financeiros confidenciais e a proteger sua empresa contra vazamentos de dados ou ataques de ransomware.

Uma dica: a Varonis faz tudo isso e muito mais.

Checklist da SOX

Checklist de requisitos para conformidade com a SOX no texto

É sempre bom fazer um checklist de conformidade com a SOX. Confira algumas sugestões e boas práticas em relação à conformidade:

  • Verificar se seu software de conformidade com a SOX está atualizado e sem de alertas. Investigue quaisquer alertas o mais rápido possível. Isso é um checklist completo por si só.
  • Ter relatórios de situação periódicos sobre a conformidade com a SOX. Uma simulação de incêndio surpresa no dia da auditoria não é nada bom. Tenha controle sobre a situação durante o ano todo.
  • Dar o acesso que os auditores da SOX precisam para trabalhar.
  • Relatar quaisquer violações de segurança ou problemas de conformidade o mais rápido possível.

Benefícios da conformidade com a SOX

A SOX proporciona o modelo que uma empresa deve seguir para gerir melhor suas demonstrações financeiras. Em troca, muitos outros aspectos são otimizados.

A empresas que estão em conformidade com a SOX relatam que seus resultados financeiros são mais previsíveis, o que deixa as partes interessadas felizes. Essas empresas relatam ainda que, devido à melhoria dos relatórios financeiros, têm acesso mais fácil ao mercado de capitais.

Ao implementarem a SOX, as empresas ficam mais seguras contra ataques cibernéticos e contra as consequências onerosas e vexatórias de um vazamento de dados. Gerenciar e limpar um vazamento de dados custa caro. Além disso, é possível que as empresas nunca recuperem os danos causados à marca.

A conformidade com a SOX cria uma equipe interna coerente e melhora a comunicação entre as equipes envolvidas com as auditorias. Os benefícios de um programa para toda a empresa como a SOX podem ter outros efeitos palpáveis, como a melhoria da comunicação e da cooperação multidisciplinar.

Outras organizações e modelos para conhecer

A SOX gerou vários outros conceitos que você precisa conhecer enquanto está no processo de cumprir todos os requisitos da conformidade.

  • PCAOB: O Public Company Accounting Oversight Board (Conselho de Supervisão de Contabilidade de Empresas Públicas, em tradução livre) elabora padrões de auditoria e treina auditores em relação às melhores práticas para realizar uma auditoria da SOX bem-sucedida.
  • COSO: O Committee of Sponsoring Organizations (Comitê das Organizações Patrocinadoras, em tradução livre) atualiza as recomendações de controles internos para estar em conformidade com a SOX. Essas recomendações dão informações sobre os padrões de auditoria do PCAOB.
  • COBIT: O Control Objectives for Information and related Technology (Controle de Objetivos para a Informação e Tecnologia Relacionadas, em tradução livre) é outro modelo para a conformidade com a SOX desenvolvido pela Information Systems Audit and Control Association (Associação de Auditoria e Controle de Sistemas de Informação, em tradução livre, conhecida pela sigla em inglês ISACA). É uma lista detalhada com 34 procedimentos recomendados para a segurança de TI.
  • ITGI: O Information Technology Governance Institute (Instituto de Governança em Tecnologia da Informação, em tradução livre) é outro modelo de TI para estar em conformidade com a SOX. Apesar de o ITGI utilizar padrões do COBIT e do COSO, esse instituto se concentra na segurança, não apenas na conformidade em geral.

Estar em conformidade com a SOX não precisa ser difícil. A Varonis automatiza diversos controles de segurança de dados da SOX. Com a Varonis, você pode resolver problemas de autorização, encontrar dados ocultos da SOX e detectar acesso incomum aos seus arquivos financeiros.  

Confira o podcast Inside Out Security Show com Guy Melamed, diretor financeiro da Varonis, para entender como a Varonis lida com a conformidade com a SOX!

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

veja-tudo-o-que-você-precisa-saber-sobre-os-ataques-de-ransomware
Veja tudo o que você precisa saber sobre os ataques de ransomware
Confira nossa seleção com os principais materiais já produzidos pela Varonis sobre ataques de ransomware e mantenha-se informado sobre o assunto.
o-custo-de-uma-invasão-ao-big-data,-parte-iii
O custo de uma invasão ao Big Data, parte III
Nesse último post sobre o custo de invasão ao Big Data, é concluída a reflexão sobre o que realmente perde uma empresa que sofre um ataque cibernético.
cybersegurança:-o-que-é-cross-site-scripting-e-que-ameaças-ele-traz
Cybersegurança: o que é Cross-Site Scripting e que ameaças ele traz
Cybersegurança: o que é Cross-Site Scripting e que ameaças ele traz | Varonis
o-que-você-precisa-saber-sobre-o-ransomware-–-parte-1
O que você precisa saber sobre o ransomware – Parte 1
O que você precisa saber sobre o ransomware – Parte 1 | Varonis