A conformidade SOX é o ato de aderir aos requisitos de relatórios financeiros, segurança da informação e auditoria da Lei Sarbanes-Oxley (SOX), uma lei dos EUA que visa prevenir fraudes corporativas.
Para estar em conformidade com a SOX, as empresas públicas que fazem negócios nos EUA devem:
- Implementar controles internos para proteger os dados financeiros contra adulteração.
- Apresentar relatórios regulares à Comissão de Valores Mobiliários (SEC) atestando a eficácia dos controles de segurança e a precisão das divulgações financeiras.
- Passar por uma auditoria anual independente de suas demonstrações e controles financeiros.
A Lei SOX também define regras para as empresas de contabilidade que auditam empresas públicas e os analistas que publicam pesquisas sobre títulos. A lei impõe multas significativas e penas criminais para atividades financeiras fraudulentas e determinadas formas de não conformidade.
Embora a SOX seja uma regulamentação financeira, os stakeholders de toda a organização estão envolvidos no alcance da conformidade. Os departamentos de TI e as equipes de cibersegurança tornaram-se particularmente importantes à medida que as organizações recorrem cada vez mais a soluções tecnológicas para proteger as informações financeiras em redes empresariais complexas.
Segundo um relatório de 2023 da empresa de consultoria Protiviti (link externo ao site ibm.com), mais da metade das empresas diz que a conformidade com SOX atualmente leva mais tempo para ser alcançada. A organização média gasta mais de US$ 1 milhão em esforços de conformidade com a SOX por ano.
Obter insights para preparar e responder a ciberataques com maior velocidade e eficácia com o Índice IBM Security X-Force Threat Intelligence.
Cadastre-se para obter o relatório do custo das violações de dados
A Lei Sarbanes-Oxley de 2002 é uma lei federal dos EUA co-patrocinada pelo senador Paul Sarbanes e pelo deputado Michael Oxley. O Congresso promulgou a lei após vários escândalos financeiros no início do século 21, incluindo os colapsos da Enron, WorldCom e Tyco.
Nesses e em outros casos, empresas públicas usaram uma mistura de brechas contábeis e fraude explícita para inflar seus valores, causando a perda de bilhões pelos investidores. Por exemplo, quando as fraudes da Enron foram descobertas, o preço de suas ações caiu de USD 90,75 para apenas 60 centavos por ação.
Em alguns casos, as empresas foram auxiliadas pelas empresas de contabilidade externas que deveriam estar auditando-as. Arthur Andersen, uma vez uma das "Cinco grandes" empresas de contabilidade, cessou operações por causa de seu papel nos escândalos da Enron e WorldCom.
A SOX visa prevenir fraudes corporativas estabelecendo mandatos regulatórios estritos sobre como as organizações protegem registros financeiros contra adulterações e tornando os auditores mais independentes de seus clientes.
A lei é um projeto abrangente com 11 títulos no total. Alguns de seus efeitos mais significativos incluem:
- Criação do Conselho de Supervisão da Contabilidade das Companhias Abertas (PCAOB)
- Reforçar os requisitos em matéria de informação financeira
- Tornar os executivos corporativos pessoalmente responsáveis por divulgações e controles financeiros
- Maior independência para analistas e auditores externos
- Proteção dos denunciantes
A SOX estabeleceu o PCAOB, uma corporação sem fins lucrativos que define padrões de auditoria financeira e regula as empresas de contabilidade que auditam empresas públicas. O PCAOB pode investigar empresas suspeitas de não conformidade e discipliná-las impondo multas de até USD 10.000 para indivíduos e USD 2.000.000 para organizações.
De acordo com a Lei de Valores Mobiliários de 1934, empresas públicas de certo tamanho já eram obrigadas a arquivar relatórios financeiros anuais e trimestrais com a SEC. A SOX enfatiza que esses relatórios devem estar livres de declarações enganosas. Os relatórios devem ser preparados de acordo com os princípios contábeis geralmente aceitos, um conjunto de padrões mantidos pelo Conselho de Normas de Contabilidade Financeira (link fora de ibm.com).
Algumas transações não contabilizadas no balanço que as empresas antes podiam deixar de fora dos relatórios financeiros, como dívidas detidas por subsidiárias não consolidadas, agora devem ser relatadas se tiverem um efeito relevante na situação financeira da empresa. Uma informação é considerada "relevante" quando poderia levar um investidor sensato a repensar sua decisão de investir.
As empresas também precisam informar ao público, de maneira quase imediata, qualquer alteração relevante nas suas informações financeiras.
Por fim, as empresas devem implementar controles internos para proteger os dados financeiros contra adulteração e uso fraudulento por agentes internos ou externos. Isto inclui a retenção de registros financeiros por determinados períodos.
De acordo com a SOX, o diretor executivo (CEO), o diretor financeiro (CFO) e quaisquer diretores corporativos que desempenham funções semelhantes são pessoalmente responsáveis por garantir que as demonstrações financeiras sejam verdadeiras e que as estruturas de controle interno sejam eficazes. Os executivos podem enfrentar multas e condenações penais se os relatórios financeiros forem imprecisos, mesmo que não tenham enganado intencionalmente os investidores.
Conflitos de interesse contribuíram para os escândalos que estimularam a aprovação da SOX. Os escritórios de contabilidade que auditavam as demonstrações financeiras das empresas de capital aberto geralmente prestavam serviços lucrativos de consultoria para essas mesmas empresas. Os contadores se sentiam motivados a produzir relatórios de auditoria que seus clientes considerassem aceitáveis, ou corriam o risco de perder esses acordos lucrativos.
Da mesma forma, é comum que analistas que acompanham o desempenho das ações trabalhem para empresas que prestam serviços bancários de investimento ou outros serviços a empresas públicas.
A SOX visa eliminar esses conflitos de interesse de algumas maneiras. Primeiro, determina que as empresas públicas devem criar comitês de auditoria independentes da gerência. Esses comitês são responsáveis pela contratação e coordenação com auditores independentes. A SOX também torna ilegal para as organizações tentar influenciar os resultados das auditorias.
As empresas de contabilidade não podem fornecer consultoria ou outros serviços às mesmas empresas para as quais realizam auditorias SOX, e as organizações devem trocar os auditores externos a cada cinco anos.
Os analistas de valores mobiliários devem trabalhar de maneira independente das divisões de banco de investimento de suas instituições. E também devem informar eventuais conflitos de interesse quando estiverem fazendo relatórios sobre valores mobiliários.
A SOX torna ilegal a retaliação contra funcionários que denunciam possíveis fraudes, rebaixando-os, demitindo-os, suspendendo-os, assediando-os ou de outra forma prejudicando-os.
A SOX se aplica a todas as empresas de capital aberto que fazem negócios nos EUA e suas subsidiárias integralmente possuídas. Ela também se aplica a analistas de valores mobiliários e as empresas de contabilidade que auditam empresas públicas.
Embora empresas privadas e sem fins lucrativos geralmente não estejam vinculadas pela SOX, existem algumas exceções. Empresas privadas se preparando para abrir capital por meio de uma oferta pública inicial estão sujeitas à SOX quando arquivam uma declaração de registro com a SEC. Denunciantes em empresas privadas que prestam serviços para empresas públicas são protegidos pela SOX ao relatar sobre a má conduta de seus clientes públicos.
A SOX torna ilegal para qualquer organização — pública, privada ou sem fins lucrativos — destruir ou falsificar registros financeiros para obstruir uma investigação federal.
Embora a SOX seja uma regulamentação dos EUA, ela tem repercussões para organizações fora do país. Empresas públicas com sede fora dos EUA devem obedecer aos requisitos da SOX se fizerem negócios nos EUA. A aprovação da SOX também inspirou outros países a adotarem suas próprias leis para combater fraudes financeiras, como a Lei de Manutenção da Promessa para uma Economia Forte do Canadá (também chamada de "C-SOX") e a Lei de Instrumentos Financeiros e Câmbio do Japão (também chamada de "J- SOX").
Na Europa, muitos notaram uma sobreposição significativa entre a conformidade com a SOX e a conformidade com Regulamento Geral de Proteção de Dados (GDPR). Em particular, muitos dos mesmos controles de segurança e processos de proteção de dados que possibilitam a conformidade com a SOX também apoiam a conformidade com o GDPR. A União Europeia implementou suas próprias regras semelhantes à SOX em relação à independência dos auditores financeiros também.
Em suma, a conformidade com a SOX significa que todas as divulgações financeiras de uma organização são totalmente precisas e que a organização tem controles e documentação para respaldar suas demonstrações financeiras.
No entanto, o processo de alcançar a conformidade com a SOX pode ser complexo. A SOX não descreve minuciosamente todos os controles de que a empresa precisa ou todas as medidas que os auditores devem tomar. Diferentes organizações alcançam a conformidade com a SOX de maneiras diferentes.
Em alto nível, a SOX tem três requisitos gerais:
- Apresentação de relatórios financeiros precisos certificados por executivos corporativos
- Implementação de controles internos apropriados
- Aprovação em auditorias regulares
De acordo com a seção 302 da SOX, "Responsabilidade Corporativa para Relatórios Financeiros", o CEO, o CFO ou líderes equivalentes de uma empresa deve aprovar todos os relatórios financeiros anuais e trimestrais apresentados junto à SEC.
Ao aprovar os relatórios, o CEO e o CFO devem atestar que as demonstrações financeiras são totalmente precisas. Eles também devem afirmar que os controles internos apropriados estão em vigor e foram validados nos últimos 90 dias.
Na seção 404 da SOX, "Avaliação de Gerenciamento de Controles Internos", todos os relatórios financeiros anuais apresentados junto à SEC devem conter um relatório de controle interno detalhado. O relatório de controle interno declara que a administração é responsável pelos controles internos e avalia a eficácia dos controles internos da empresa no final do ano fiscal mais recente.
As organizações devem comunicar imediatamente quaisquer alterações relevantes na sua situação financeira. Embora os incidentes com cibersegurança possam contar como alterações relevantes de acordo com a SOX, vale a pena observar que a SEC adotou novas regras em julho de 2023, tornando os requisitos de relatório para esses incidentes ainda mais rigorosos (link externo ao site ibm.com).
É importante destacar que as organizações devem relatar incidentes de cibersegurança dentro de quatro dias após determinar que o incidente teve ou poderia ter um impacto relevante. As empresas devem relatar incidentes em terceiros, como serviços em nuvem, se eles puderem afetar significativamente a organização.
As empresas implementam controles internos SOX para evitar que agentes internos e externos alterem fraudulentamente os dados financeiros ou os utilizem para fins ilícitos.
A SOX não lista explicitamente todos os controles que as empresas devem implementar. Organizações muitas vezes se baseiam em frameworks de governança corporativa como o framework de Objetivos de Controle para Informações e Tecnologias Relacionadas, que pertence à Associação de Auditoria e Controle de Sistemas de Informação.O framework da Comissão de Organizações Patrocinadoras da Treadway também é popular. Embora esses frameworks não tenham sido desenvolvidos especificamente para a SOX, os esquemas de controle que eles apresentam geralmente atendem aos requisitos de conformidade com a SOX.
As organizações implementam controles no nível dos processos de negócios e da infraestrutura de tecnologia da informação.
Os controles de processos de negócios incluem questões como treinar funcionários sobre os requisitos da SOX e estabelecer canais de denúncia seguros para denunciantes.
Muitas empresas também aplicam a segregação de funções, um princípio em que os fluxos de trabalho são divididos em várias partes, e diferentes funcionários são responsáveis por cada etapa. A ideia é que nenhum funcionário controle todo o fluxo de trabalho, e que cada pessoa envolvida exerça uma espécie de supervisão sobre os demais. Um exemplo típico seria fazer com que a pessoa que aprova pagamentos não seja a mesma pessoa que emite os cheques da conta da empresa.
As empresas também podem criar processos de armazenamento e preservação de registros para cumprir com os requisitos da SOX de retenção de documentos. Por exemplo, os auditores são obrigados a guardar quaisquer papéis de trabalho associados a uma auditoria por sete anos.
A automação tornou-se cada vez mais importante para os esforços de conformidade com a SOX, à medida que as redes corporativas se tornam mais complexas. De acordo com a Protiviti, a empresa média tem 36 aplicações de negócios que se enquadram nos requisitos da SOX (link externo ao site ibm.com). Os controles de segurança de TI podem ajudar a aplicar as regras da SOX em todas essas aplicações.
Algumas organizações usam software especializado em conformidade com a SOX para armazenar com segurança dados e documentos relacionados à SOX, rastrear atividades relevantes e sinalizar brechas nos controles internos. No entanto, as empresas também podem usar ferramentas de cibersegurança mais gerais para fins de conformidade com a SOX.
Ferramentas de proteção de dados, como soluções de prevenção contra perda de dados (DLP), podem rastrear onde os dados confidenciais são armazenados, quem os acessa e o que eles fazem com os dados. Algumas ferramentas de DLP também podem impedir que os usuários façam alterações não autorizadas nos dados financeiros ou os transfiram para locais não autorizados. As organizações também podem usar backups automatizados para que os dados possam ser recuperados se destruídos ou adulterados.
As soluções de Gerenciamento de acesso e identidade (IAM) permitem que as organizações definam políticas de controle de acesso granular seguindo o princípio do privilégio mínimo. Os funcionários recebem apenas as permissões mais baixas de que precisam para realizar seus trabalhos. As plataformas IAM também podem simplificar o gerenciamento de mudanças para que as organizações possam atualizar e remover rapidamente as permissões de acesso à medida que as pessoas entram na empresa, mudam de função ou saem da empresa.
As empresas podem usar as soluções de gerenciamento de eventos e informações de segurança (SIEM) para monitorar a atividade da rede, detectar violações de segurança e responder a incidentes mais rapidamente. As soluções SIEM também preservam os registros de segurança que ajudam as organizações a comprovar a conformidade durante as auditorias SOX. Algumas ferramentas SIEM têm recursos específicos SOX integrados ou se integram a ferramentas que o fazem, permitindo que eles registrem automaticamente informações relevantes e gerem relatórios de conformidade.
As obrigações de segurança da informação da SOX se estendem aos data centers em nuvem, onde as organizações armazenam ou processam informações financeiras. As empresas também precisam considerar os controles dessas fontes de dados.
Conforme mencionado acima, o CEO e o CFO devem garantir a precisão de cada relatório financeiro e a eficácia dos controles internos. Auditorias regulares dão aos executivos a prova de que precisam para fazer essas declarações.
Ao realizar auditorias internas regulares das práticas de relatórios financeiros e controles de dados, as empresas podem monitorar a conformidade ao longo do tempo, identificar lacunas e corrigir pontos fracos.
As descobertas das auditorias internas também podem auxiliar os auditores externos que realizam auditorias anuais de conformidade com a SOX. Na auditoria anual, uma empresa de contabilidade independente realiza sua própria avaliação de controles internos e relatórios financeiros. Os resultados dessa auditoria são frequentemente incluídos no relatório anual da empresa junto à SEC.
No passado, os auditores tinham que informar se achavam que as avaliações da administração sobre os controles internos eram precisas. Esse requisito foi removido quando a SEC adotou a Norma de auditoria nº 5 em 2007 (link externo ao site ibm.com).
A SOX não especifica exatamente como gerentes e empresas de contabilidade devem conduzir suas auditorias. Em vez disso, a SEC declara (link fora da ibm.com) que auditores e gerentes devem usar uma avaliação de risco de cima para baixo (TDRA) para determinar o escopo de suas auditorias. Uma TDRA identifica as contas, divulgações e outras áreas que estão mais em risco de fraude material e se concentra em avaliar os controles-chave que abordam esses riscos.
Tornar-se conforme com a SOX traz benefícios. Os investidores podem sentir mais confiança nas divulgações financeiras e, portanto, estar mais dispostos a investir nas empresas em conformidade com a SOX. A SOX também diminui as motivações dos líderes empresariais para cometerem fraudes, já que os torna pessoalmente responsáveis pelas demonstrações financeiras.
A conformidade com a SOX pode ajudar as organizações a melhorar suas posturas de cibersegurança em geral. Muitos dos controles de segurança de dados que as organizações usam para evitar adulterações financeiras também podem combater os ataques cibernéticos. Por exemplo, as soluções IAM ajudam a manter os hackers fora das contas dos usuários, e as ferramentas SIEM podem ajudar a detectar mais cedo incidentes de segurança em andamento.
A não conformidade com a SOX também pode levar a sanções civis e criminais para organizações e indivíduos.
Os executivos que certificarem um relatório financeiro impreciso podem ser multados em até US$ 1 milhão e ficar presos por até 10 anos. Os executivos que certificarem deliberadamente declarações enganosas podem ser multados em até US$ 5 milhões e ficar presos por até 20 anos.
Os executivos também podem ter sua remuneração vinculada a incentivos revogada caso a organização precise fazer uma revisão financeira. Segundo as regras da SEC adotadas em 2022 (link externo ao site ibm.com), os executivos nem sequer precisam ser culpados da má conduta. As restituições são feitas automaticamente sempre que uma revisão mostrar que as metas vinculadas aos incentivos não foram atingidas.
A SOX também torna ilegal danificar, alterar ou de outra forma interferir nos registros financeiros. Os funcionários podem ser condenados a penas de prisão de até 20 anos por fazer isso. Os diretores corporativos que retaliarem os denunciantes poderão enfrentar multas e penas de prisão de até 10 anos.
A SEC pode proibir as pessoas que violarem as regras da SOX de atuarem como executivos, diretores, corretores, consultores e negociantes corporativos. As empresas podem inclusive ser retiradas das bolsas de valores por não conformidade significativa.
O software de conformidade IBM Security QRadar SIEM reduz riscos e ajuda a gerenciar requisitos de conformidade complexos, executando seus dados de log SIEM através de extensões de conformidade para a maioria dos padrões regulatórios, incluindo SOX.
O IBM Security Guardium Insights permite que você automatize e simplifique sua jornada para a segurança de dados e conformidade com software que protege seus dados, onde quer que eles estejam.
O AIX, o sistema operacional Unix exclusivo da IBM, estimula a inovação com recursos de nuvem híbrida e código aberto que ajudam você a criar e implementar aplicações modernas e compatíveis em um ambiente seguro e resiliente.
O Índice IBM Security X-Force Threat Intelligence de 2023 oferece insights acionáveis para ajudar você a entender como proteger proativamente sua organização.
GRC é uma estratégia organizacional para gerenciar governança, gerenciamento de risco e conformidade com regulamentações da indústria e do governo.
O SIEM é uma solução de segurança que ajuda as organizações a reconhecer e abordar possíveis ameaças e vulnerabilidades de segurança antes que tenham a chance de interromper as operações comerciais.