Guia de verificação e preparação de auditoria do SOX Compliance
Guia de verificação e preparação de auditoria do SOX Compliance
9 min de leitura
Última atualização em 30 de junho de 2022
A aprovação da Lei Sarbanes-Oxley (SOX) em 2002 estabeleceu regras para proteger o público de práticas fraudulentas ou predatórias por corporações e outras entidades empresariais. A lei aumentou a transparência nos relatórios financeiros por parte das corporações, e estabeleceu um sistema de controles e saldos corporativos internos.
O cumprimento do SOX é uma obrigação legal e, em geral, apenas uma prática empresarial inteligente: para proteger os dados, as empresas já devem limitar o acesso a sistemas financeiros internos. Ao implementar também controles financeiros e de segurança cibernética da SOX, as empresas também podem reduzir o risco de roubo de dados de ameaças internas ou ataques cibernéticos.
Este artigo abordará tudo o que você precisa saber sobre conformidade sox, desde um olhar detalhado sobre os controles SOX até como se preparar e concluir uma auditoria.
Obtenha o Guia Essencial Gratuito para Conformidade e Regulamentos de Proteção de Dados dos EUA
Visão geral: História do SOX
O SOX foi promulgado pelo legislativo federal em resposta a uma série de escândalos financeiros, destacando a necessidade de um controle mais próximo sobre as práticas de relatórios financeiros corporativos.
O senador Paul Sarbanes (D-MD) e o deputado Michael G. Oxley (R-OH-4) escreveram o projeto em resposta a vários incidentes corporativos de alto perfil nos quais a falta de relatórios financeiros e transparência produziu enormes perdas para investidores, o público e agências governamentais. Em particular, os escândalos Enron, WorldCom e Tyco forneceram grande parte do ímpeto e necessidade de uma legislação como a SOX.
O objetivo declarado da SOX é “proteger os investidores melhorando a precisão e a confiabilidade das divulgações corporativas”. O projeto de lei estabeleceu responsabilidades para conselhos e dirigentes de empresas de capital aberto e estabeleceu penalidades criminais por não cumprirem. A lei foi aprovada por maiorias esmagadoras na Câmara e no Senado, com apenas três membros votando em oposição ao SOX.
A quem a conformidade sox se aplica?
A SOX aplica-se a todas as empresas de capital aberto nos EUA, além de quaisquer subsidiárias e empresas estrangeiras que sejam negociadas publicamente e façam negócios nos Estados Unidos. A SOX também regula as empresas contábeis que auditam empresas sujeitas à conformidade sox.
Empresas privadas, instituições de caridade e organizações sem fins lucrativos geralmente não são obrigadas a cumprir todos os requisitos sox. No entanto, organizações privadas que conscientemente destroem ou falsificam dados financeiros ainda podem ser penalizadas sob certas línguas SOX. Empresas privadas que planejam uma oferta pública inicial devem se preparar para cumprir com o SOX antes de se divulgarem.
Aqui está uma pequena lista de entidades que se enquadram na alçada do SOX:
- Empresas de capital aberto sediadas nos EUA.
- Empresas internacionais que possuem ações ou títulos registrados na SEC
- Empresas privadas em determinadas áreas de relatórios financeiros
- Empresas contábeis que auditam empresas para SOX
Se sua empresa se enquadra em uma dessas categorias, você está sujeito a atender aos requisitos de segurança de dados e controles, conforme especificado no SOX.
O que são controles SOX?
Os requisitos sox para empresas públicas incluem a implementação de controles internos para processos que impactam os relatórios financeiros. O objetivo dos controles SOX é garantir relatórios financeiros precisos e confiáveis, bem como proteção de dados. É importante entender o escopo dos controles SOX dentro de sua organização, sabendo onde o SOX termina e os controles regulares de gerenciamento interno começam.
De um modo geral, os requisitos sox abrangem tanto os controles de negócios quanto os controles de tecnologia da informação (TI). No lado dos negócios, os controles SOX se concentram na precisão e segurança dos dados que alimentam relatórios financeiros. Em termos de tecnologia, existem controles gerais de TI e controles de aplicativos. Os objetivos dos controles de TI são garantir que todos os sistemas sejam precisos, completos e livres de erros de maneiras que possam afetar potencialmente os relatórios financeiros.
Requisitos de conformidade sox
Os CEOs e cfos são diretamente responsáveis pela exatidão, documentação e envio de todos os relatórios financeiros à SEC, bem como pela estrutura de controle interno. A SOX também requer um relatório de controle interno que a gestão dos Estados é responsável por uma estrutura de controle interno adequada para seus registros financeiros. Quaisquer deficiências devem ser relatadas na cadeia o mais rápido possível.
O SOX exige políticas formais de segurança de dados, comunicação dessas políticas e aplicação contínua consistente. As empresas devem desenvolver e implementar uma estratégia abrangente de segurança de dados que proteja e proteja todos os dados financeiros armazenados e usados durante operações normais.
Por fim, as empresas precisam manter e fornecer documentação comprovando a conformidade. A documentação deve mostrar claramente que a organização está monitorando e medindo continuamente os objetivos de conformidade sox ao longo do ano.
Agora que você está familiarizado com a conformidade sox do ponto de vista conceitual, você está pronto para começar a se preparar para etapas específicas e itens de ação em nossa lista de verificação.
Lista de verificação de conformidade sox
×
A conformidade sox é imprescindível na proteção de seus dados e na manutenção da integridade de suas transações financeiras intactas. A melhor maneira de garantir a conformidade é seguir uma lista de verificação fortemente ancorada nas seções 302 e 404 do ato.
Abaixo está uma lista de verificação SOX com medidas práticas que você pode tomar para garantir o alinhamento do seu negócio com os requisitos de conformidade.
1. Evite adulteração de dados.
Instale softwares que possam rastrear logins suspeitos e evitar violações em bancos de dados de negócios contendo dados financeiros confidenciais. Garantir que seus dados confidenciais não seja acessado ou alterado é uma pedra angular da conformidade sox. Para isso, você deve considerar fortemente a implementação de algum tipo de software de proteção de privacidade de dados.
2. Cronogramas de atividades de documentos.
Empregue sistemas e softwares que possam registrar horários de atividades em todas as transações e dados relacionados às diretrizes sox. Criptografe os dados registrados em um local seguro ou banco de dados para evitar adulteração. A documentação da atividade é fundamental para garantir que as informações corretas são fáceis de encontrar durante a auditoria SOX.
3. Instale controles de rastreamento de acesso.
Implemente software capaz de receber dados e mensagens de todas as fontes digitais, como FTP, bancos de dados e arquivos de computador. Esses controles também devem ser capazes de identificar e rastrear entidades externas que violam e tentam adulterar seus dados. Ferramentas detalhadas de rastreamento e visualização de segurança cibernética, como o DatAdvantage, são extremamente úteis para monitorar os controles de acesso continuamente.
4. Certifique-se de que os sistemas de defesa estão funcionando.
Instale vários sistemas capazes de enviar relatórios ao seu auditor por e-mail — ou outros meios de comunicação — diariamente. Conceda aos seus auditores acesso a esses sistemas para que eles visualizem dados relevantes sem realmente alterar nada. Avalie constantemente se seu software de proteção está em condições de trabalho, colaborando com o departamento de TI da sua empresa e auditores SOX.
5. Coletar e analisar dados do sistema de segurança.
Você também deve implementar sistemas para testar e validar que suas medidas de segurança e conformidade são eficazes durante todo o ano. Tenha sistemas e processos em vigor que coletem dados em torno de violações, incidentes de segurança e atividades suspeitas. Use software para coletar e relatar dados de atividade do sistema para que toda a sua equipe — desde executivos até a equipe de TI — possa resolver quaisquer problemas de conformidade sox de forma proativa.
6. Implementar o rastreamento de falhas de segurança.
Instale um software de detecção que possa dissecar e identificar atividades suspeitas em todos os sistemas relevantes para a conformidade sox. Este software deve ter a capacidade de detectar, avaliar e documentar ameaças em tempo real e enviar relatórios detalhados para o seu sistema de gerenciamento de incidentes para serem abordados imediatamente.
7. Conceder aos auditores de acesso ao sistema de defesa.
A comunicação constante com seus auditores SOX pode ir longe. Essa melhor prática e os próximos dois passos são aspectos que toda empresa que está tendo sucesso na conformidade sox tem em comum. Seus auditores devem ter acesso e controle limitado a todos os seus protocolos, software e sistemas de salvaguarda para que eles possam diagnosticar e solucionar problemas de trabalho, e identificar oportunidades de melhoria.
8. Divulgar incidentes de segurança aos auditores.
Instale sistemas que possam detectar e documentar falhas de segurança, bem como alertar imediatamente seu auditor SOX sobre o incidente. Isso irá mitigar o esquecimento de ameaças e permitir que seus auditores resolvam problemas o mais rápido possível. O uso de um mecanismo de classificação de dados, por exemplo, pode ajudar a determinar quais dados proteger mais e alertá-lo para qualquer violação ou compromisso.
9. Relatar dificuldades técnicas aos auditores.
Instrua seu departamento de TI a comunicar aos seus auditores quaisquer dificuldades técnicas identificadas em suas salvaguardas de segurança. Além disso, estabelecer sistemas capazes de testar a funcionalidade da rede e a integridade dos arquivos — além de documentar e divulgar incidentes de segurança para seus auditores — é útil para verificar esta caixa.
Auditorias de conformidade sox
A SOX determina que as empresas completem auditorias anuales e que compartilhem os resultados com as partes interessadas conforme solicitado. Para evitar qualquer conflito de interesses, as empresas contratam auditores independentes para essas auditorias específicas. A conformidade sox deve ser tratada como um esforço durante todo o ano, preparando-se continuamente para a próxima auditoria.
O objetivo principal da auditoria de conformidade sox é a verificação das demonstrações financeiras da empresa. Os auditores comparam declarações passadas com o ano atual e determinam se tudo está em ordem. Os auditores também podem entrevistar pessoal e verificar se os controles de conformidade são suficientes para manter as normas de conformidade sox.
Seu auditor SOX terá acesso a todos os controles de segurança relevantes, e você também deve estar preparado para fornecer documentação sobre alterações ou melhorias que você fez para cumprir com sox. Os auditores também analisarão de perto relatórios e arquivamentos financeiros para garantir a exatidão e que não há sinais de má conduta.
Preparing for a SOX compliance audit
Update your reporting and internal auditing systems so that when an auditor requests a report, you’re able to pull it and provide it quickly. Verify that your SOX compliance software systems are working as intended so there will be no surprises in reviewing those systems. Also, make sure to have cybersecurity and financial documentation organized and readily available prior to an audit.
SOX internal controls audit
Your SOX auditor will investigate four internal controls as part of the yearly audit. To be SOX compliant, it’s crucial to demonstrate your capability in these four key areas below:
Access
Access means both physical controls (doors, badges, locks on file cabinets, etc.) and electronic controls (login policies, least privileged access, and permissions audits). For example, you might place a biometric scanner on the entrance to a server room that houses critical data to ensure only authorized personnel can enter. Maintaining privileged access management with a least-privilege model (meaning each user only has the access necessary to do his or her job) is a requirement of SOX compliance.
Security
You also need to assess how your organization identifies sensitive data and safeguards against cyberattacks. You’ll need to monitor who is accessing data — and how — as well as detect and respond to security incidents. In the event of a breach or incident, you should be able to take corrective action in a timely and effective manner. The development of a cybersecurity incident response plan by management and executives often helps address security on a company-wide level for the purposes of SOX compliance.
Data backup
Em seguida, avalie como sua empresa apoia dados e sistemas-chave. O backup de dados é fundamental porque minimiza a interrupção e a perda de dados no caso de um desastre em todo o sistema. Tanto sistemas originais quanto dispositivos de data center contendo backups devem ser protegidos e manuseados de forma compatível com SOX. Você também deve considerar manter backups offsite compatíveis com SOX de todos os seus registros financeiros.
Gerenciamento de mudanças
Tenha processos definidos para adicionar e manter usuários, instalar novos softwares e fazer quaisquer alterações em bancos de dados ou aplicativos que gerenciem as finanças da sua empresa. Sempre que você adiciona novos funcionários, infraestrutura de computação ou software, as alterações devem ser registradas e monitoradas para possíveis anormalidades resultantes.
Benefícios do software de conformidade para uma auditoria SOX
Uma das melhores táticas que você pode implantar para garantir a conformidade sox é implementar software de conformidade. Algumas áreas e situações em que o software de conformidade pode ser útil:
-
Segurança da informação: Ao implementar uma plataforma de segurança de software centrada em dados, você melhorará a visibilidade de todas as atividades de conformidade sox, melhorando sua postura geral de segurança cibernética.
-
Rastreamento de permissões: plataformas modernas de segurança de dados podem ajudá-lo a identificar quaisquer problemas de permissão gritantes. Isso reduz o risco de ameaças internas ou funcionários acessando dados que não deveriam.
-
Classificação de dados: Esse tipo de software ajuda a classificar automaticamente os dados com base na sensibilidade, perfil de risco e outros fatores. Você poderá mostrar aos auditores que seus dados mais críticos são protegidos de acordo.
-
Prevenção de ataques: Este software pode alertá-lo proativamente para qualquer atividade suspeita, ameaças internas ou ataques de ransomware, garantindo que, quando sua auditoria rolar, você esteja bem ciente de quaisquer violações ou ataques antes do tempo.
Cinco benefícios da conformidade sox
1. Administração financeira
A SOX fornece o quadro necessário para que as empresas sejam melhores administradoras de seus registros financeiros, o que, por sua vez, beneficia muitos outros aspectos da empresa. Assim como a conformidade com a ISO 27001, estar em alinhamento com a SOX promove relatórios financeiros eficientes e precisos que promovem um maior nível de cuidados financeiros em sua organização.
2. Relatórios melhorados
As empresas compatíveis com sox relatam finanças mais previsíveis e acesso mais fácil ao mercado de capitais. Seja produzindo relatórios para investidores, auditores ou reguladores, suas capacidades de emissão de relatórios serão muito melhoradas com o SOX.
3. Segurança cibernética aprimorada
Ao implementar o SOX, as empresas estão mais seguras contra ataques cibernéticos e as consequências caras de uma violação de dados. Violações de dados são difíceis de gerenciar e remediar, e algumas empresas nunca recuperam os danos causados à sua marca. Os controles de segurança que o SOX exige irão um longo caminho para reduzir o potencial de um hack malicioso ou uma ameaça interna.
4. Melhor colaboração
A conformidade sox constrói uma equipe interna coesa e melhora a comunicação entre os departamentos envolvidos com as auditorias. Os benefícios de um programa de toda a empresa como o SOX podem ter outros efeitos tangíveis na empresa, incluindo melhor comunicação interfuncional e cooperação.
5. Priorização de risco
Ao cumprir com o SOX, você incorporará uma estrutura abrangente de gerenciamento de riscos dentro da cultura da sua organização. Seu negócio se beneficiará da visibilidade corporativa e transparência nos processos, coordenação e mitigação de brechas oportunas. Você saberá exatamente quais riscos cibernéticos priorizar para que você possa implantar recursos de forma mais eficiente.
Familiarize-se com essas organizações
À medida que você está embarcando em sua jornada de conformidade SOX, existem várias organizações e frameworks relacionados que você pode encontrar ao longo do caminho. Aqui estão alguns conceitos e grupos que você deve estar familiarizado, além do SOX:
- PCAOB: O Conselho de Supervisão Contábil da Empresa Pública desenvolve padrões de auditoria e treina auditores sobre as melhores práticas para realizar uma auditoria sox bem sucedida.
- COSO: O Comitê de Organizações Patrocinadoras atualiza suas recomendações para controles internos para alcançar a conformidade sox. Essas recomendações informam as normas de auditoria do PCAOB.
- COBIT: Os Objetivos de Controle de Informações e Tecnologia Relacionada é outra estrutura usada para implementar a conformidade sox. Desenvolvido pela ISACA, esta é uma lista abrangente de 34 práticas recomendadas para segurança de TI.
- ITGI: O Instituto de Governança da Tecnologia da Informação é outra estrutura de TI usada para alcançar a conformidade sox. A ITGI usa padrões tanto do COBIT quanto do COSO, mas se concentra na segurança em vez de apenas se concentrar na conformidade geral.
PERGUNTAS FREQUENTES SOX
P: Quais são os controles de chave sox?
R: O SOX especifica quatro aspectos-chave dos controles: acesso, segurança de TI, backup de dados e gerenciamento de alterações. Você precisará abordar todas essas quatro áreas em preparação para uma auditoria SOX e conformidade contínua.
P: Por que o Congresso aprovou SOX?
R: Escândalos contábeis em empresas como Enron, WorldCom e Arthur Andersen que resultaram em bilhões de dólares em perdas corporativas e de investidores levaram à criação e aprovação do SOX. É uma estrutura de grande alcance projetada para evitar tais escândalos futuros.
P: Quais são as penalidades de não conformidade do SOX?
R: Processos judiciais e publicidade negativa à parte, indivíduos que não cumprem ou que apresentam relatórios imprecisos estão sujeitos a multas de até US $ 1 milhão e 10 anos de prisão, mesmo sem intenção maliciosa envolvida. A má conduta deliberada pode resultar em multas de até US$ 5 milhões e 20 anos de prisão.
Pensamentos finais
Embora a conformidade sox possa ser um empreendimento e tanto, não precisa necessariamente ser difícil. Você deve ver a conformidade sox como uma oportunidade para melhorar seus recursos de relatórios financeiros, segurança cibernética e controle de acesso. Implementar novas estratégias e tecnologias como gerenciamento de acesso à identidade ou aplicação automatizada de governança de dados para fins de conformidade sox também fortalece sua empresa a longo prazo.
Finalmente, você não deve ver a conformidade sox como um caso “um e feito”. Em vez disso, é um esforço contínuo durante todo o ano para melhorar os controles financeiros e a segurança cibernética. Embora o SOX tenha sido projetado para evitar que a corrupção criminosa e dados financeiros falsos sejam publicados, a conformidade também lhe dá melhor visibilidade e eficiência com relatórios financeiros e segurança cibernética.
×
David Harrington
David é escritor profissional e consultor de liderança de pensamento para marcas de tecnologia empresarial, startups e empresas de capital de risco.