Em 2022, o Congresso dos Estados Unidos aprovou a Lei Sarbanes-Oxley, que estabelecia regras para proteger o público de práticas fraudulentas ou errôneas feitas por empresas e outras entidades contábeis. O objetivo da legislação é aumentar a transparência nos relatórios financeiros das empresas e exigir um sistema de controles recíprocos formalizado em cada uma delas.
Estar em conformidade com a SOX não é só uma obrigação legal, mas também uma boa prática comercial. É claro que as empresas devem se comportar de forma ética e limitar o acesso a sistemas financeiros internos. No entanto, a implementação dos controles de segurança financeira previstos pela SOX também tem outro benefício: ajudar a proteger a empresa contra roubo de dados, seja por ameaças internas, seja por ataques cibernéticos. A conformidade com a SOX pode incluir muitas das mesmas práticas de qualquer iniciativa de segurança de dados.
Paul Sarbanes (senador do estado de Maryland e membro do partido Democrata) e Michael G. Oxley (representante do estado de Ohio e membro do partido Republicano) escreveram este projeto de lei em resposta a vários escândalos corporativos de grande repercussão, sobretudo os das empresas Enron, Worldcom e Tyco.
A meta estabelecida pela SOX é “proteger os investidores ao melhorar a precisão e a credibilidade das divulgações de informações empresariais”. Além de determinar responsabilidades para os conselhos e para os diretores de empresas de capital aberto, o projeto também estabelecia sanções penais por não cumprimento. A lei foi aprovada por maioria esmagadora na Câmara e no Senado dos Estados Unidos. Apenas três membros se opuseram.
A SOX se aplica a todas as empresas de capital aberto dos Estados Unidos, bem como a subsidiárias integrais e empresas estrangeiras que são de capital aberto e operam nos Estados Unidos. A SOX também regula os escritórios de contabilidade responsáveis pela auditoria em empresas que devem estar em conformidade com a SOX.
Empresas privadas, entidades filantrópicas e organizações sem fins lucrativos geralmente não são obrigadas a cumprir tudo que é previsto pela SOX. Entidades privadas não devem destruir ou falsificar dados financeiros intencionalmente. O texto da SOX prevê sanções às entidades que o fizerem. Empresas privadas que estão planejando uma Oferta Pública Inicial (IPO, na sigla em inglês) devem se preparar para cumprir os requisitos da SOX antes de abrirem o capital.
Os requisitos mais importantes da SOX são:
A SOX exige que as empresas realizem auditorias anuais e tornem os resultados de fácil acesso para qualquer parte interessada. As empresas contratam auditores independentes para realizar as auditorias de conformidade com a SOX. Essas devem ser separadas de quaisquer outras auditorias, com o objetivo de evitar um conflito de interesses.
O objetivo principal da auditoria de conformidade com a SOX é a verificação das demonstrações financeiras da empresa. Os auditores comparam demonstrações anteriores com a demonstração do ano corrente e determinam se tudo está nos conformes. Os auditores também podem entrevistar a equipe e verificar se os controles de conformidade são suficientes para manter os padrões de conformidade com a SOX.
Atualize seus sistemas de relatórios e de auditoria interna para que seja possível obter rapidamente qualquer relatório solicitado pelo auditor. Verifique se seus sistemas de software de conformidade com a SOX estão funcionando conforme o esperado, com o objetivo de evitar qualquer surpresa.
Seu auditor de conformidade com a SOX investigará quatro controles internos na auditoria anual. Para estar em conformidade com a SOX, é fundamental demonstrar sua capacidade nos seguintes controles:
Uma das melhores formas de demonstrar conformidade com a SOX é implementando uma plataforma de software de segurança centrada em dados. As plataformas modernas de segurança de dados podem ajudar a identificar problemas de autorização, a encontrar e categorizar dados financeiros confidenciais e a proteger sua empresa contra vazamentos de dados ou ataques de ransomware.
Uma dica: a Varonis faz tudo isso e muito mais.
É sempre bom fazer um checklist de conformidade com a SOX. Confira algumas sugestões e boas práticas em relação à conformidade:
A SOX proporciona o modelo que uma empresa deve seguir para gerir melhor suas demonstrações financeiras. Em troca, muitos outros aspectos são otimizados.
A empresas que estão em conformidade com a SOX relatam que seus resultados financeiros são mais previsíveis, o que deixa as partes interessadas felizes. Essas empresas relatam ainda que, devido à melhoria dos relatórios financeiros, têm acesso mais fácil ao mercado de capitais.
Ao implementarem a SOX, as empresas ficam mais seguras contra ataques cibernéticos e contra as consequências onerosas e vexatórias de um vazamento de dados. Gerenciar e limpar um vazamento de dados custa caro. Além disso, é possível que as empresas nunca recuperem os danos causados à marca.
A conformidade com a SOX cria uma equipe interna coerente e melhora a comunicação entre as equipes envolvidas com as auditorias. Os benefícios de um programa para toda a empresa como a SOX podem ter outros efeitos palpáveis, como a melhoria da comunicação e da cooperação multidisciplinar.
A SOX gerou vários outros conceitos que você precisa conhecer enquanto está no processo de cumprir todos os requisitos da conformidade.
Estar em conformidade com a SOX não precisa ser difícil. A Varonis automatiza diversos controles de segurança de dados da SOX. Com a Varonis, você pode resolver problemas de autorização, encontrar dados ocultos da SOX e detectar acesso incomum aos seus arquivos financeiros.
Confira o podcast Inside Out Security Show com Guy Melamed, diretor financeiro da Varonis, para entender como a Varonis lida com a conformidade com a SOX!